Сервис для слежки за супругами позволял просматривать данные с чужих аккаунтов

Сервис для слежки за супругами позволял просматривать данные с чужих аккаунтов

Уязвимость на сайте Xnore позволяла любому пользователю сервиса получать данные с чужих учетных записей.  

Web-сайт и соответствующее приложение для слежки за детьми, подчиненными и неверными супругами позволяют любому пользователю сервиса получать доступ к данным из чужих учетных записей и перехватывать сообщения 28 тыс. пользователей.

Речь идет о приложении Xnore для Android-устройств, iPhone и BlackBerry, способном перехватывать сообщения в Facebook и WhatsApp, электронную переписку, фотографии, историю браузинга и GPS-координаты, а также записывать телефонные звонки.

Как сообщает издание Motherboard, уязвимость в картографической функции на сайте Xnore позволяет любому, кто откроет HTML-код страницы, увидеть мобильный идентификатор, используемый Xnore для просмотра и сбора данных. С помощью этого идентификатора пользователи сервиса могут добавлять перехваченные с чужого аккаунта данные в свой собственный.

Журналистам Motherboard стало известно о проблеме от обнаружившего ее исследователя под псевдонимом L&M. «Подобные компании заботятся лишь о том, как шпионить, а конфиденциальность данных жертв и их безопасность их не интересует», – отметил L&M.

Журналистам удалось подтвердить наличие уязвимости на сайте Xnore и получить доступ к текстовым сообщениям и другой информации на одном из зараженных устройств, принадлежавшему ребенку.

Когда пользователь загружает приложение Xnore, ему присваивается мобильный идентификатор. Из HTML-кода страницы с картой на сайте Xnore злоумышленник может узнать идентификатор другого пользователя, а затем добавить его при загрузке приложения и тем самым получить доступ к данным на чужом зараженном устройстве.

Получив уведомление от Motherboard, операторы сайта удалили картографическую функцию со своего сайта и добавили «дополнительный уровень аутентификации при добавлении устройств».


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!