Una grave vulnerabilidad en la aplicación Catwatchful, un software espía para Android disfrazado de herramienta de control parental, dejó al descubierto más de 62.000 credenciales de usuario, incluidas direcciones de correo electrónico y contraseñas en texto plano. El hallazgo fue realizado por el investigador canadiense Eric Daigle, quien accedió a la base de datos completa mediante una falla de seguridad en el backend del servicio.
Catwatchful se presenta como una app para monitorear niños. Pero, en realidad funciona como stalkerware, es decir, software diseñado para espiar a personas sin su consentimiento.
Una vez instalada —mediante carga lateral, ya que no está disponible en Play Store— la app se oculta como una aplicación del sistema y solicita permisos para acceder a tus fotos, registros de llamadas, ubicación en tiempo real, contraseñas, audio ambiental en vivo, así como a las cámaras frontal y trasera. Toda esta información se carga en un panel web accesible únicamente por quien instaló la app.
TE PUEDE INTERESAR: Alerta de seguridad: agentes de IA en navegadores ponen en riesgo a millones de usuarios
La brecha de seguridad por Catwatchful
- Daigle descubrió que el backend personalizado de Catwatchful era vulnerable a inyección SQL, lo que le permitió acceder a la base de datos completa, incluyendo:
- Más de 62.000 cuentas de usuarios
- Datos de 26.000 dispositivos monitoreados
- Información del administrador del sistema, identificado como Omar Soca Charcov, desarrollador radicado en Uruguay
- Los datos estaban almacenados en Firebase, una plataforma de Google, y el sistema carecía de autenticación, lo que permitía el acceso sin credenciales.
- La mayoría de los dispositivos comprometidos se encontraban en México, Colombia, India, Perú, Argentina, Ecuador y Bolivia, según el orden de víctimas reportado por el sitio web TechCrunch. Algunos registros datan de 2018, lo que indica que Catwatchful ha estado operando durante al menos siete años.
- Tras ser alertado, Google añadió Catwatchful a su sistema Play Protect, que ahora advierte a los usuarios si detecta la app o su instalador en el dispositivo. Además, se descubrió que se puede revelar la presencia de Catwatchful marcando 543210 en el teclado del teléfono Android y presionando ‘llamar’.
Foto: Catwatchful.