谷歌商店中安卓间谍 APP 存在漏洞 遭黑客入侵将使超百万密码和裸照被泄露

本文由腾讯数码独家发布

对于那些想要监督自己伴侣和家人们手机内容的安卓用户，谷歌在 Play 商店上提供了大量的“间谍”APP 供给有需要的人使用，但是同样也是这些间谍 APP 应用被一些不法分子利用，给人们的隐私生活造成了巨大的威胁，他们可能会在受害者不知情的情况下将其安装在受害者的电话上，而其中也大量包含了一些令人震惊的安全漏洞，这些漏洞可很可能会被黑客利用，登录和监视装载该 APP 软件的手机，查看手机中的内容。

这次一款名为 Couple Vow 的间谍 APP 就中招了，用户手机中数百万的照片，密码，短信内容在受到黑客攻击的情况下被泄露无余，登陆 Couple Vow 账户我们发现被泄露的不只是位置，短信和通话记录这类数据，而是所有通过该 APP 发送的内容全部被遭到了曝光，该 APP 数据库中的一个独立安全漏洞还能让黑客们盗取上百万的数据信息，其中包括裸照这类的隐私内容。

位于德国总部的 FrunHoffe 安全信息技术研究所的研究人员首次发现了该漏洞，并在周六的拉斯维加斯的 DEF CON 黑客大会上发表了他们的研究结果，证明表明这些间谍监督 APP 几乎拥有了所有的家庭隐私数据，他们还发现，通过一种名为 GET 请求的技术，研究人员可以在不键入用户名和密码的情况下连接到 APP 的服务器。

也就是说所有这些用户登陆数据都被完全解密，对于任何可以访问数据网络的人都是可读的，就像安全研究人员 Siegfried Rasthofer 所说的：“你根本不需要像黑客那样攻击他们的服务器，只需要一个简单的 GET 请求就可以让你在未经安全认证的情况下接入他们的全部数据。”

研发人员还测试了是否能够利用该 APP 中的 SQL 数据库漏洞调取用户手机内容中的照片数据，在此之中他们发现完全可以实现，在这批泄露的照片中还包含了大量的裸照，针对这些情况和人们的反应，Couple Vow 的研发人员目前还没有做出回复答案，而 Rasthofer 和他的同事，Stephan Huber 和 Steven Arzt 在去年也对其他 18 款间谍监督 APP 进行了调查，发现所有的这些 APP 都存在着账户破解，登陆规避和交流通讯无法保护的大量漏洞。

在过去的一年里，也的确有不少的间谍 APP 公司遭到了黑客的恶意袭击，像 FlexiSpy 和美国的 Retina-X 公司也曾经被卷入其中，针对 Rasthofer 提出的警告，一些 APP 开发商已经做出了一些回馈反应，但是许多 APP 仍然还是处于很大的漏洞威胁下，而针对自己 Play 商店这么多的不安全 APP，谷歌的回应速度却是非常迟缓，或许是因为没有受到直接的影响，因此在态度上不太以为然。

研发人员提到，如果谷歌能够更负责一些，完全可以对自己 APP 商店里的应用做一番简单，移除那些不安全的 APP 应用，但是他们并没有选择这样做。