Una app para espiar móviles de personas cercanas deja expuestas online fotos e información de miles de víctimas
SpyFone es una de esas aplicaciones destinadas específicamente a espiar el móvil de alguien cercano. Una pareja, un hijo, un empleado... Es posible tener acceso a sus llamadas, mensajes, navegación, fotos, geolocalización y demás si conseguimos que usen un teléfono en el que haya sido instalada esta app.
Hay más aplicaciones similares, pero SpyFone se ha hecho lamentablemente famosa ahora por haber dejado expuesta en la red la información de miles de víctimas de este espionaje, que ahora lo son por partida doble. En esta información filtrada se encuentran fotografías, mensajes de texto, archivos de audio, contactos, ubicaciones, contraseñas, logs, mensajería de aplicaciones como Facebook, etc, tal y como revela uno de los investigadores responsables del hallazgo a Motherboard.
Dicho investigador encontró estos datos en un servidor de Amazon S3 propiedad de SpyFone. Concretamente, "terabytes de datos", y sin cifrar. La lista de víctimas con sus datos comprometidos asciende a 3.666. Todas ellas tuvieron la aplicación de SpyFone, presumiblemente sin tener conocimiento de ello, instalada en su terminal.
La API de SpyFone estaba totalmente desprotegida, y la información de miles de clientes, expuesta
La información que pudo recopilar ha estado pululando sin control por la red, y a día de no se sabe si alguien ha tenido acceso a ella anteriormente, y de ser así, si ha podido robar todos esos archivos. Troy Hunt, de Have I Been Pwned?, pudo acceder a las más de 44.000 direcciones de correo electrónico que le facilitó el investigador.
El origen de esta enorme brecha de seguridad está en la API que SpyFone dejó sin proteger, así que era fácil para cualquiera ir probando URL's aleatorias hasta dar con una que le diese acceso a contenedores de datos de usuarios. Algo muy similar a un reciente fallo de seguridad de Movistar.
La compañía mostró su alivio y agradecimiento de que el hallazgo de esta vulnerabilidad fuese realizado por un investigador sin intenciones malignas, algo que no quita que otra persona haya podido conocerlo antes y acceder a la información de sus clientes.
Recordatorio final de que es una pésima idea jugar a espiar el móvil de otra persona, también de nuestra pareja. Por si no fuese suficiente con ello, a veces incluso es posible que acabemos consiguiendo que toda su información personal y privada acabe expuesta online sin protección alguna.