子供の写真流出、TheTruthSpyのセキュリティ不備が露呈

子供の写真流出、TheTruthSpyのセキュリティ不備が露呈 - innovaTopia - (イノベトピア)

Last Updated on 2024-10-22 08:03 by admin

2022年に、ストーカーウェアアプリ「TheTruthSpy」によって撮影された子供の写真が、アプリ提供者のセキュリティ対策の不備によりインターネット上で露出していることが明らかにされました。このアプリは、雇用主が職場での従業員の監視や、親が子供の見守りを目的として使用するツールとして自らを宣伝していますが、ストーカーや虐待的なパートナー、離婚手続きで有利に立ちたい人々の手に渡ることもあります。TheTruthSpyは、被害者の電話にアクセスできる人物によって秘密裏にインストールされ、アプリはデバイスの所有者から隠されたまま、攻撃者に完全なアクセスを提供します。15以上のスパイ機能を誇り、対象の位置情報の追跡、ブラウザ履歴の公開、通話の録音、SMSメッセージの読み取り、WhatsApp、Facebook、SnapChat、Viberメッセージの盗聴、タイプされた内容のログ、発言の録音などが可能です。

しかし、このアプリはセキュリティに関して持続的な問題を抱えています。2022年、TechCrunchはTheTruthSpyを含む他のスパイウェアアプリが共通の脆弱性、CVE-2022-0732(Insecure Direct Object Reference、IDOR)を共有していることを発見しました。このバグは非常に簡単に悪用され、被害者のAndroidデバイスから収集されたすべてのデータへの無制限のリモートアクセスを許可します。このバグは修正されず、昨日、ストーカーウェア研究者のmaia arson crimewは、2つの異なるハッキンググループが再びこのIDOR脆弱性に偶然遭遇したことを明らかにしました。両グループは、その高度に機密性の高い性質を考慮して、侵害されたデータを公開しないとTelegramで述べています。しかし、彼らはTechCrunchがIMEI番号(電話を一意に識別する番号)と広告IDを以前に侵害されたことが知られているデバイスのリストと照合することにより、データの真正性を検証するのに十分なデータを提供しました。

TheTruthSpyを含む多くのクローンアプリ(Copy9、MxSpy、iSpyoo、SecondClone、TheSpyApp、ExactSpy、FoneTracker、GuestSpyなど)をインストールすることにより、誰かを監視するだけでなく、その人のデータを誰でも見つけられるようにしてしまう可能性があります。報告によると、TheTruthSpyはヨーロッパ、インド、インドネシア、アメリカ合衆国、イギリスなどで大規模な被害者クラスターを監視し続けています。2023年のMalwarebytesの研究によると、アメリカ合衆国とカナダの62%の人々が、配偶者や重要な他者のテキストメッセージを見たり、位置情報を追跡したり、検索履歴を調べたり、デバイスに監視ソフトウェアをインストールしたりするなど、何らかの形でオンラインでロマンチックなパートナーを監視していることを認めています。

ストーカーウェアの削除について、TechCrunchが提供するルックアップツールを使用して、あなたの電話がTheTruthSpyのストーカーウェアに感染しているか、または感染していたかどうかを確認できます。Malwarebytesは、ストーカーウェア対策連合の創設メンバーの一つとして、デバイスからストーカーウェアを検出し削除することを優先事項としています。ただし、ストーカーウェアを削除することで、あなたがアプリの存在を知っていることを監視している人に警告することになるため、注意が必要です。アプリは異なる名前でインストールされ、ユーザーから隠されるため、見つけて削除するのは困難です。この場合、Malwarebytes for Androidが役立ちます。

【ニュース解説】

ストーカーウェアアプリ「TheTruthSpy」が再びセキュリティの問題を抱えていることが明らかになりました。このアプリは、雇用主や親がそれぞれの従業員や子供を監視するためのツールとして宣伝されていますが、実際にはストーカーや虐待的なパートナーなどによって悪用される可能性があります。TheTruthSpyは、被害者のデバイスに秘密裏にインストールされ、攻撃者に対象の位置情報、通話記録、メッセージ内容などへの完全なアクセスを提供します。

2022年には、このアプリがセキュリティ上の脆弱性(CVE-2022-0732)を抱えており、被害者のデータがインターネット上で露出するリスクがあることが指摘されました。この脆弱性は、被害者のAndroidデバイスから収集されたデータへの無制限のリモートアクセスを可能にするもので、非常に簡単に悪用される可能性があります。しかし、この問題は修正されず、最近になって2つのハッキンググループが独立してこの脆弱性を発見しました。

この事態は、TheTruthSpyを含む類似のアプリを使用することで、監視対象者だけでなく、監視を行う側のデータも危険にさらされることを意味します。報告によると、TheTruthSpyは世界中で多くの被害者を監視し続けており、このようなプライバシーの侵害は深刻な問題です。

この問題に対処するためには、ストーカーウェアの存在を疑う場合、専門のツールを使用してデバイスのスキャンを行い、感染が確認された場合は速やかに削除することが重要です。ただし、ストーカーウェアを削除することで、監視している人物にその事実が知られる可能性があるため、慎重な対応が求められます。

このニュースは、デジタル時代におけるプライバシー保護の重要性を改めて浮き彫りにしています。個人のデータがどのように収集、使用されるかについての透明性とセキュリティの向上が急務であり、ユーザー自身も自己のデータを守るための知識と対策を身につける必要があります。また、このようなアプリの存在は、法的・倫理的な問題を含むため、規制の強化や意識の高揚も同時に進められるべきです。

from TheTruthSpy stalkerware, still insecure, still leaking data.

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » 子供の写真流出、TheTruthSpyのセキュリティ不備が露呈

“子供の写真流出、TheTruthSpyのセキュリティ不備が露呈” への1件のコメント

  1. 山本 拓也のアバター
    山本 拓也

    このようなストーカーウェアの存在とそれがもたらすセキュリティ上のリスクについて聞くと、正直なところ驚きますし、深刻な懸念を感じます。私たちは、テクノロジーが私たちの生活を便利にしてくれる一方で、それを悪用するリスクも高まっていることを認識しなければなりません。特に「TheTruthSpy」のように、監視を目的として設計されたアプリがセキュリティの脆弱性を抱えていると、それは監視される側だけでなく、監視する側の個人情報も危険にさらすことになります。この問題は、個人のプライバシー保護だけでなく、デジタルセキュリティ全体の信頼性に関わる問題です。

    私たちは、子供を守るためや従業員の生産性を確保する目的でテクノロジーを利用することがありますが、そのテクノロジーが逆に私たちを守るべきデータを危険にさらしているとしたら、その利用を見直す必要があります。デバイスやアプリのセキュリティ設定を常に確認し、更新すること、そして信頼できるセキュリティソフトウェアを利用することが重要です。さらに、政府や業界団体による規制や指針の策定が必要であり、テクノロジー企業にはより厳格なセキ