LetMeSpy is gehackt, met het lekken van gebruikersdata tot gevolg. De zogeheten mobiele “stalkerware”-dienst zegt zelf voor legitieme doeleinden bruikbaar te zijn. Echter zijn de mogelijkheden zijn wel erg geschikt voor kwaadwillenden.
De ontwikkelaar van LetMeSpy zegt dat een hacker de berichen, call logs en onderschepte locaties van de applicatie heeft gestolen. Vorige week was op de loginpagina te lezen dat “een security-incident” had plaatsgevonden. Hier zou het om “ongeautoriseerde toegang tot de data van websitegebruikers” gaan.
Marketing versus de realiteit
LetMeSpy positioneert zichzelf als een app die voor ouders en bedrijfsleiders geschikt zou moeten zijn voor het monitoren van respectievelijk kinderen en werknemers. Qua bijnamen is deze soort software echter vooral bekend als “stalkerware” of “spouseware”, omdat de functionaliteit net zo goed geschikt is voor ongewenste tracking op een nog minder geoorloofde manier. Vaak zijn apps van deze aard echter slecht beveiligd en vol met bugs. LetMeSpy blijft onzichtbaar op het thuisscherm van een telefoon en is lastig te verwijderen.
De Poolse Niebezpiecznik-blog kwam met het nieuws dat ongeveer 13.000 Android-apparaten zijn gecompromitteerd. Daily Dot merkte op dat het voornamelijk om Amerikaanse studenten lijkt te zijn gegaan.
Tegenover SiliconANGLE stelt Ray Kelly van Synopsys Software Integrity Group dat hiermee het belang van security-tests op mobiele applicaties benadrukt. “Desalniettemin zijn mobiele apps, zeker degene die gedownload worden via de App Store of Google Play, moeilijker om te testen dan traditionele web-applicaties als het gaat om security-kwetsbaarheden.”
Best practices
De meest voor de hand liggende oplossing voor het voorkomen van datalekproblemen is om simpelweg niet gebruik te maken van discutabele applicaties als LetMeSpy. Kelly geeft aan dat apps getest moeten worden op onversleutelde referenties en logindata. Daarnaast dient er volgens hem een netwerklaag te bestaan tijdens de testfase. Dit dient te garanderen dat de applicatie een veilige verbinding maakt. Ten slotte moeten app-ontwikkelaars back-end systemen testen op vatbaarheid voor SQL Injection-aanvallen die mogelijk een hele database verschepen.
Spyware is de laatste jaren nog in het nieuws geweest in de vorm van bijvoorbeeld de Pegasus-software. Dit platform werd (en wordt?) voor spionage gebruikt door veel overheden en kent momenteel nog niet genoeg regelgeving om de technologie te weren. Daar zal de EU nog langer mee aan de slag gaan.