«Код потерялся» — оправдание года. Создатели шпионского ПО не могут исправить собственные ошибки

leer en español

TheTruthSpy уязвимость утечка TechCrunch
«Код потерялся» — оправдание года. Создатели шпионского ПО не могут исправить собственные ошибки
TheTruthSpy уязвимость утечка TechCrunch

TheTruthSpy выдала всех — и жертв, и своих покупателей.

image

Создатель шпионского ПО TheTruthSpy, вьетнамская компания 1Byte Software под руководством Вана (Варди) Тиу, снова оказалась в центре громкого инцидента. Независимый ИБ-исследователь Сваранг Вейд выявил критическую уязвимость , которая позволяет злоумышленнику сбросить пароль к любому аккаунту в приложении и его многочисленных «клонов» для Android. После смены пароля атакующий получает полный доступ к украденным данным жертв, включая переписки, фотографии, историю звонков и геолокацию.

TheTruthSpy и связанные с ним продукты, включая Copy9, iSpyoo и MxSpy, позиционируются как инструменты родительского контроля , однако фактически используются для скрытого слежения без ведома владельцев устройств. TechCrunch подтверждает, что обнаруженная уязвимость остаётся неисправленной: 1Byte Software признала, что исходный код частично утрачен и исправить ошибку невозможно.

Это уже четвёртый крупный инцидент безопасности, связанный с TheTruthSpy за последние годы. Ранее, в 2021 году, из-за ошибки в системе защиты оказались раскрыты личные данные более 400 000 пользователей, включая содержимое сообщений, фотографии и маршруты передвижений. В 2023 году произошла новая утечка , затронувшая ещё 50 000 устройств. Эти сбои неоднократно демонстрируют неспособность разработчиков защитить даже собственных клиентов, не говоря уже о данных жертв слежки.

Помимо технических недочётов, расследования вскрыли и финансовые схемы 1Byte Software. Для обхода ограничений со стороны платёжных систем владельцы TheTruthSpy прибегали к отмыванию денег и использованию поддельных документов. Это позволило им переводить миллионы долларов через фиктивные аккаунты по всему миру. Несмотря на разоблачения, проект не закрылся: его код и серверы по-прежнему работают, а часть операций маскируется под новое название PhoneParental.

Анализ инфраструктуры показывает, что приложение по-прежнему использует уязвимый бэкенд JFramework (ранее Jexpa Framework), через который обрабатываются и передаются данные. Более того, новая разработка компании — приложение MyPhones.app — также построено на той же небезопасной архитектуре.

TechCrunch и независимые эксперты предупреждают, что TheTruthSpy и его производные остаются серьёзной угрозой: они не только собирают критически чувствительную информацию, но и систематически демонстрируют неспособность обеспечить её защиту. Пока уязвимость остаётся открытой, под риском находятся десятки тысяч пользователей, чьи телефоны могут быть незаметно скомпрометированы.