Eine große Anzahl unterschiedlicher Software, die alles sammelt, was Entwickler erreichen können, schafft ein echtes Problem (neben anderen ethischen und rechtlichen Problemen) der Sicherheit der gesammelten Daten. Sehr oft liegen Daten einfach im klaren, da Spyware-Entwickler so sehr daran interessiert sind, sie zu sammeln, dass sie keine Zeit haben, über ihre sichere Speicherung nachzudenken.
Zum Beispiel die TeenSafe-App, mit der iPhones für Kinder, gespeicherte E-Mail-Adressen und Textkennwörter von Apple-Benutzer-IDs in der öffentlichen Cloud von Amazon erfasst werden können. TeenSafe verwendete zwei AWS-Cloud-Server (Amazon S3) zum Speichern einer Datenbank mit den E-Mail-Adressen von Eltern und Kindern (Adressen, die mit der Apple-ID des Geräts verknüpft sind, auf dem die Anwendung installiert ist), Gerätenamen und -kennungen sowie Textkennwörtern für das Apple-ID-Konto ein Kind. Es gab 10.200 Einträge in der Datenbank. Das Schwierigste an dieser Stelle ist, dass TeenSafe die Deaktivierung der Zwei-Faktor-Authentifizierung für die Apple-ID des Geräts erfordert, auf dem die Anwendung verwendet wird.
Spyfone, das Anwendungen zur Verfolgung von Telefonen auf iOS- und Android-Basis verkauft, hinterließ Terabyte an Daten, einschließlich SMS, Audioaufzeichnungen von Anrufen, Kontakten und Textnachrichten auf Facebook, auf einem falsch konfigurierten Amazon S3 (AWS) -Server. Zum Zeitpunkt der Entdeckung befanden sich 3666 überwachte Telefone und 2208 Clients in der Datenbank. Darüber hinaus hat Spyfone eine der Funktionen in seiner API ungeschützt gelassen, sodass jeder die Liste der Clients anzeigen kann.
Ein separates Problem ist die Sicherheit der Server, auf denen die Daten solcher Anwendungen gespeichert sind. Beispielsweise hat ein unbekannter Hacker den Server von TheTruthSpy gehackt, der auch Anwendungen für iOS und Android zur Verfolgung von Smartphone-Besitzern veröffentlicht. Er konnte auf Logins, Passwörter, Fotos, Audioanrufe, SMS, Geolokalisierungsdaten, Chat und andere Daten zugreifen, die auf Telefonen mit installierter TheTruthSpy-Software abgefangen wurden. Insgesamt waren mehr als 10.000 Kundenkonten betroffen. Der Autor des Hacks behauptet, dass er TheTruthSpy hacken konnte, nachdem er den Android-Anwendungscode untersucht hatte, der einige Schwachstellen aufgedeckt hatte. Insbesondere gab der TheTruthSpy-Server die Anmeldung und das Kennwort des Kontos im Klartext zurück, als Antwort auf das Senden der Client-ID.
Ein anderer Hacker konnte auf den Family Orbit-Server auf der Rackspace-Site zugreifen und 281 Gigabyte Foto- und Videomaterial herunterladen, das von Spyware gesammelt wurde. Family Orbit ist eine weitere Anwendung zur Überwachung von Smartphones für Kinder. Wie bei TheTruthSpy wurde in der Family Orbit-Anwendung ein Fehler festgestellt, der den Zugriff auf den Server vereinfachte. Der Cloud-Server-Zugriffsschlüssel wurde direkt in der Anwendung selbst „verkabelt“, wenn auch in verschlüsselter Form.
Nun, die Krone der Geschichte ist der Fall eines ehemaligen Mitarbeiters der israelischen Firma NSO Group, die Tools zum Extrahieren von Daten von Smartphones herstellt, der versuchte, den gestohlenen Buchungskreis auf dem Schwarzmarkt für 50 Millionen Dollar zu verkaufen. Hier musste ich als Angestellter eines Unternehmens, das DLP-Systeme herstellt, schreien Verwenden Sie DLP-Systeme, aber nein. Hier hilft überhaupt nichts. Wenn Sie einer Anwendung vertrauliche Informationen, insbesondere über Kinder, anvertrauen, denken Sie daran, dass diese praktisch „auf dem Balkon“ gespeichert werden können.