Dos de las llamadas aplicaciones ‘stalkerware’, para que los padres supervisen la actividad en internet de sus hijos, les dio a los ciberdelincuentes acceso a los mensajes de Facebook, textos, datos de llamadas telefónicas y coordenadas GPS de los menores.
Según una investigación, el error dejó a unos 28 mil usuarios vulnerados, muchos de los cuales eran niños.
Las aplicaciones de stalkerware son técnicamente legales, pero han generado controversia en el pasado porque las personas las han empleado para espiar ilegalmente.
Las personas paranoicas han usado ilegalmente el software para espiar a sus parejas, mientras que los jefes los usan para rastrear la actividad de los trabajadores.
Una de esas aplicaciones, llamada Xnore, puede interceptar mensajes, fotos, historial de navegación e incluso coordenadas GPS. También puede grabar secretamente llamadas telefónicas.
Normalmente, los usuarios emparejan la aplicación con un teléfono o tableta monitoreados, lo que permite a los padres rastrear los mensajes y movimientos de sus hijos.
Pero una investigación reveló que el sitio permitía a los piratas informáticos espiar los datos de cualquier dispositivo monitoreado registrado en el sitio.
Una laguna en el sistema permitió a los ciberdelincuentes abrir el código HTML del sitio para con un “identificador móvil” utilizado por Xnore ver y recopilar datos.
Esto significaba que podían monitorear en secreto los mensajes, las llamadas telefónicas grabadas y las ubicaciones de miles de usuarios, muchos de los cuales son niños.
Luego de las críticas a esta grave falla, Xnore eliminó la función de su sitio web y agregó un “nivel adicional de autenticación al agregar dispositivos”.
El pirata informático conocido solo como L&M detectó una falla en una segunda aplicación conocida como Copy9, que ofrece un servicio similar a Xnore.
Afirmó que accedieron a los nombres de usuario y contraseñas de alrededor de 12 mil usuarios.
Además haber tenido acceso a los datos de todos los objetivos de vigilancia de esos usuarios, incluidos mensajes de texto, fotos, chats de WhatsApp y grabaciones de llamadas.
Copy9 no respondió a una solicitud de comentario sobre la violación de seguridad.