黑吃黑事件——黑客攻擊SpyHuman監控軟體，4.4億多次通話記錄被泄漏

一提到黑客攻擊，我們下意識的會想到是黑客對一些「傻白甜」的用戶採取的攻擊，但事實證明，黑客的江湖也會出現黑吃黑的現象，近日就有黑客攻擊SpyHuman監控軟體，獲取用戶簡訊和通話信息。

SpyHuman的監控過程

這一數據泄漏事件表明，目前黑客已經把存儲了大量隱私信息的間諜軟體行業作為未來的攻擊目標。黑客認為，大部分出售間諜軟體的公司都會進行非法跟蹤和濫用間諜功能。比如SpyHuman，它的產品就是在打市場的擦邊球，因為這些產品既然能監控你的孩子的安全，就能監控其他人，而這些包含數據和圖像的信息就會非常的危險。SpyHuman可以獲取實時數據上傳的最新信息，並將用戶的所有數據備份到伺服器上。SpyHuman打出的廣告就是「您想監視未成年孩子的智能手機活動嗎？安裝了它，您就可以監控通話詳情，簡訊，位置，瀏覽歷史記錄等等，無需Root，全天候技術支持，簡易安裝……」

按著這名黑客的攻擊理由，他認為，沒有人有權這樣做，同樣這些應用程序和提供商也不能這樣做，在他看來，利用隱私信息賺錢是可恥的。

SpyHuman是一家向銷售惡意軟體的公司，總部位於印度，也是全球第5個被攻擊的出售間諜軟體的公司。SpyHuman是SpyHuman公司開發的一個Android應用程序，它能監控你的孩子和員工的實時狀態。SpyHuman的手機追蹤器應用程序在目標設備上保持隱形狀態，收集監控人的所有活動而不被他們所知，比如監控孩子或員工的實時GPS位置，閱讀設備上的WhatsApp和Facebook消息以及遠程打開設備的麥克風，然後，所有收集的數據都會顯示在儀錶板中供監控者查看。同時被監控者在目標設備上無法檢測到該應用程序，SpyHuman支持任何Android 3.0或更高版本的Android設備。

在撰寫本文時，SpyHuman的網站側重於對員工和兒童監控，並沒有明確提示是否可以監控商業合作夥伴，配偶或情人，因為這麼做通常都是非法的。然而，一些評論網站和社交媒體都會介紹如何把它應用到這些非法的目的中，特別是SpyHuman頁面的檔案包括諸如「知道你的伴侶是否在欺騙你」這樣的短語，並建議監控你丈夫的簡訊，以防他有外遇。

SpyHuman的數據被盜經過

目前根據這名黑客的描述，被盜數據包括明顯的簡訊內容和通話元數據即受感染設備撥打或接聽電話的電話號碼，以及SpyHuman惡意軟體泄漏的這些信息的操作時間和日期。目前，美國科技媒體網站Motherboard已經通過黑客中間人——法國安全研究員巴蒂斯特?羅伯特（Baptiste Robert）獲得了一份被盜的數據樣本。

羅伯特表示，他已經驗證了這個黑客提供的漏洞，並且通過SpyHuman的官網提取了超過4.4億多次的通話詳細信息，這些被泄漏的數據本身就包括明顯文本消息和呼叫元數據的內容。

羅伯特還分享了黑客拍攝的技術展示視頻，其中演示了如何利用網站中的基本安全問題來獲取客戶數據。登錄SpyHuman後，用戶可以創建一個免費帳戶，此時黑客會顯示一個經過偽裝的空白屏幕，一旦SpyHuman收集了簡訊日誌，黑客也就會收集到相應的簡訊日誌。然後，黑客對URL進行一個更改，再繼續收集其他用戶的簡訊。

羅伯特向Motherboard展示了其中的一段簡訊內容：「你是在家裡還是外面」；「我可以晚點給你打電話嗎?」……其中有些內容還是印地語（又稱北印度語）。不過Motherboard並沒有問這個信息是誰發給誰的，比如是父母發給孩子的，還是配偶之間的，還是員工和老版之間的。

黑客展示的視頻中包含了兩個看似屬於被盜用戶的電子郵件地址，為了證實這段視頻確實是通過SpyHuman網站進行的，Motherboard的安檢人員試圖通過這些電子郵件地址在SpyHuman的網站上註冊賬戶，結果失敗了，這證明這些電子郵件地址已經在SpyHuman註冊過了，視頻確實是在SpyHuman網站上拍攝的。

SpyHuman的回應

Motherboard就此此事詢問了SpyHuman，該公司在一封電子郵件中，明確表示了被盜數據屬於其網站存儲的信息。該公司表示：

我們非常關心客戶和客戶隱私數據。在收到你們的電子郵件後，我們立即採取措施保護我們的系統。其實我們不是一個間諜軟體公司，因為在應用程序安裝的初始階段，我們總是詢問用戶安裝此應用程序的目的。如果他們選擇兒童或員工監控，那麼我們的應用程序將保持隱藏並以隱身模式運行。否則，它將創建可見的圖標，以便人們可以知道這樣的應用程序安裝在他/她的設備上。

其實，對於SpyHuman的辯解，我認為根本沒有說服力，一些想要監控伴侶或配偶的人理論上完全可以把監控對象選擇為兒童或員工，以便在目標設備上隱藏它。

去年，Motherboard也從另外兩家消費者間諜軟體公司Flexispy和Retina-X獲得過類似的被盜數據。不過，兩家公司的反應各不同，在發生違規行為時，FlexiSpy將此事件描述為「虛假消息」，而在一名黑客反覆清除Retina-X的伺服器後，該公司決定在今年3月完全關閉其監控軟體。2017年4月，黑豹男孩（Leopard Boy）組織的兩名黑客披露了獲取自Retina-X以及FlexiSpy的約13萬條帳戶細節信息。Retina-X以及FlexiSpy這兩家公司主要負責向對婚姻關係感到緊張的配偶及希望追蹤子女動向的父母提供隱蔽監視工具，包括向筆記本電腦與移動設備中安裝工具以記錄其鍵盤、麥克風、電話及照片存儲等內容。

還有就是在今年2月，另一位黑客向Motherboard提供了來自另外兩家消費者間諜軟體公司Mobistealth和Spy Master Pro的數據，Mobistealth的一些客戶包括FBI（美國聯邦調查局），ICE（美國移民和海關執法局）和DHS（國土安全部）的員工。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！