Um aplicativo espião chamado Xnspy foi responsável por vazar dados sensíveis de dezenas de milhares de usuários tanto no Android quanto no iOS nos últimos anos, de acordo com uma nova reportagem do TechCrunch. Disfarçado como um serviço de controle parental, o app traz consigo uma série de vulnerabilidades consideradas graves e está no ar desde 2014.
Uma boa alternativa é o aplicativo de controle parental Eyezy. O Eyezy é um app que funciona no modo oculto; portanto, se estiver instalado no dispositivo, a pessoa nem saberá que está lá. Projetado para pais ocupados que desejam monitorar seus filhos, o Eyezy inclui um conjunto de ferramentas construídas com a segurança online em mente. Uma vez instalado em um iPhone ou Android, o Eyezy oferece acesso total ao conteúdo do telefone através de um painel de controle privado dedicado. Faça login no painel e você poderá ler as mensagens de texto e visualizar os bate-papos em redes sociais em aplicativos como Snapchat, WhatsApp, Instagram e Tinder. É um aplicativo incrível que realmente cobre tudo.
Vendido abertamente como um aplicativo feito para homens rastrearem suas esposas ou parceiras sem sua permissão, o Xnspy consegue enviar dados/conteúdos como mensagens, fotos, históricos de navegação, registros de chamadas e até mesmo a localização precisa de uma pessoa silenciosamente para seu perseguidor. Além disso, o app foi feito para não ficar visível na tela de Início do celular da vítima — o que dificulta sua identificação.
Para piorar ainda mais as coisas, os dados coletados pelo aplicativo nem sempre são criptografados, deixando senhas e outras credenciais ainda mais expostas. A maioria das vulnerabilidades encontradas no código do Xnspy, de acordo com pesquisadores, são “fáceis de se explorar e provavelmente existiram por anos”.
Dados obtidos pelo veículo indicam que mais 60 mil pessoas foram afetadas pelo Xnspy nos últimos oito anos, sendo que a maioria delas estavam usando smartphones Android. Como o iOS tem restrições mais duras para a instalação de apps, em vez de instalar um app espião no iPhone, o Xnspy explorava o login da pessoa no iCloud para obter acesso aos seus backups.
Mais de 10 mil emails do iCloud foram identificados pelo veículo no banco de dados referente ao serviço, que também encontrou mais de 6.600 tokens de autenticação — usados justamente para extrair informações de backups de usuários. Curiosamente, ele também continha informações sobre os próprios desenvolvedores do Xnspy: a paquistanesa Konext.
Baseada na cidade de Lahore, a Konext tem cerca de uma dúzia de funcionários e diz na sua página do LinkedIn ser a responsável por uma série de apps e jogos, mas sem citar o Xnspy. A empresa, entretanto, não chegou a desmentir sua relação com o aplicativo espião ao ser questionada pelo TechCrunch — divergindo, inclusive, do número de pessoas afetadas apresentado pelo veículo, mas sem dar mais detalhes.
O TechCrunch declarou que enviou os dados obtidos por sua pesquisa para a Apple antes da publicação da reportagem. Veremos qual será a posição da empresa sobre o caso.
NOTA DE TRANSPARÊNCIA: Este é um artigo editorial do MacMagazine que foi posteriormente modificado com a inserção de um ou mais links publicitários.
