Une opération de logiciel espion grand public appelée SpyX a été touchée par une violation de données l'année dernière, a appris TechCrunch. La violation révèle que SpyX et deux autres applications mobiles connexes détenaient des enregistrements sur près de deux millions de personnes au moment de la violation, dont des milliers d'utilisateurs d'Apple.
La violation de données remonte à juin 2024 mais n'avait jamais été signalée auparavant, et il n'y a aucune indication que les opérateurs de SpyX aient jamais informé leurs clients ou les personnes ciblées par le logiciel espion.
La famille de logiciels espion mobile SpyX est désormais, selon notre décompte, la 25e opération de surveillance mobile depuis 2017 connue pour avoir été victime d'une violation de données, ou avoir autrement divulgué ou exposé les données de leurs victimes ou utilisateurs, montrant que l'industrie du logiciel espion grand public continue de proliférer et de mettre en danger les données privées des personnes.
La violation fournit également un aperçu rare de la manière dont des logiciels espions comme SpyX peuvent également cibler les clients d'Apple.
Troy Hunt, qui gère le site de notification de violation de données Have I Been Pwned, a reçu une copie des données violées sous la forme de deux fichiers texte, qui contenaient 1,97 million d'enregistrements de compte uniques avec des adresses e-mail associées.
Hunt a déclaré que la grande majorité des adresses e-mail sont associées à SpyX. Le cache comprend également moins de 300 000 adresses e-mail associées à deux clones quasi-identiques de l'application SpyX appelés MSafely et SpyPhone.
Environ 40% des adresses e-mail étaient déjà dans Have I Been Pwned, a déclaré Hunt.
Comme pour les violations précédentes de logiciels espions, Hunt a marqué la violation de données de SpyX dans Have I Been Pwned comme "sensible", ce qui permet uniquement à la personne ayant une adresse e-mail affectée de vérifier si leurs informations font partie de cette violation.
Les opérateurs derrière SpyX n'ont pas répondu aux e-mails de TechCrunch avec des questions sur la violation, et un numéro WhatsApp répertorié sur le site Web de SpyX a renvoyé un message indiquant qu'il n'était pas enregistré auprès de l'application de messagerie.
Un autre logiciel espion, une autre violation
SpyX est présenté comme un logiciel de surveillance mobile pour les appareils Android et Apple, destiné en principe à accorder le contrôle parental sur le téléphone d'un enfant.
Les logiciels malveillants de surveillance, comme SpyX, sont également connus sous le nom de stalkerware (et spouseware) car parfois les opérateurs font explicitement la promotion de leurs produits comme un moyen d'espionner un conjoint ou partenaire domestique, ce qui est largement illégal sans que la personne le sache. Même lorsque les opérateurs ne font pas explicitement la promotion de cette utilisation illégale, les applications de logiciels espions partagent une grande partie des mêmes capacités furtives de vol de données.
Les logiciels espions grand public, comme les stalkerware, fonctionnent généralement de deux manières.
Les applications qui fonctionnent sur les appareils Android, y compris SpyX, sont généralement téléchargées en dehors du magasin d'applications Google Play officiel et nécessitent que quelqu'un ayant un accès physique à l'appareil de la victime - généralement avec connaissance de son code d'accès - affaiblisse ses paramètres de sécurité et implante le logiciel espion.
Apple a des règles plus strictes concernant les applications pouvant se trouver sur l'App Store et s'exécuter sur les iPhones et iPads, de sorte que les stalkerware tapent généralement dans une copie de la sauvegarde de l'appareil trouvée sur le service de stockage cloud d'Apple, iCloud. Avec les identifiants iCloud d'une personne, un stalkerware peut télécharger en continu la sauvegarde la plus récente de la victime directement depuis les serveurs d'Apple. Les sauvegardes iCloud stockent la majorité des données de l'appareil d'une personne, y compris les messages, les photos et les données des applications.
Selon Hunt, l'un des deux fichiers du cache violé faisait référence à iCloud dans son nom de fichier et contenait environ 17 000 ensembles distincts d'identifiants Apple Account en texte brut.
Étant donné que les identifiants iCloud dans le cache violé appartenaient clairement à des clients Apple, Hunt a cherché à confirmer l'authenticité des données en contactant les abonnés de Have I Been Pwned dont les adresses e-mail Apple Account et les mots de passe figuraient dans les données. Hunt a déclaré que plusieurs personnes lui ont confirmé que les informations qu'il avait fournies étaient exactes.
Étant donné la possibilité d'un risque continu pour les victimes dont les identifiants de compte pourraient encore être valides, Hunt a fourni la liste des identifiants iCloud violés à Apple avant la publication. Apple n'a pas commenté lorsqu'il a été contacté par TechCrunch.
Quant au reste des adresses e-mail et mots de passe trouvés dans les fichiers texte violés, il était moins clair s'il s'agissait de mots de passe de travail pour un service autre que SpyX et ses applications clones.
Pendant ce temps, Google a retiré une extension Chrome liée à la campagne SpyX.
"Les politiques du Chrome Web Store et du Google Play Store interdisent clairement le code malveillant, les logiciels espions et les stalkerware, et si nous trouvons des violations, nous prenons des mesures appropriées. Si un utilisateur soupçonne que son compte Google a été compromis, il doit prendre immédiatement les mesures recommandées pour le sécuriser", a déclaré le porte-parole de Google, Ed Fernandez, à TechCrunch.
Comment détecter SpyX
TechCrunch propose un guide de suppression des logiciels espions pour les utilisateurs d'Android qui peut vous aider à identifier et supprimer les types courants d'applications de surveillance téléphonique. N'oubliez pas d'avoir un plan de sécurité en place, car l'arrêt de l'application peut alerter la personne qui l'a installée.
Pour les utilisateurs d'Android, activer Google Play Protect est une fonctionnalité de sécurité utile qui peut aider à vous protéger contre les logiciels malveillants Android, y compris les applications de surveillance téléphonique non désirées. Vous pouvez activer Google Play à partir des paramètres de l'application s'il n'est pas déjà activé.
Les comptes Google sont bien plus protégés avec l'authentification à deux facteurs, ce qui peut mieux protéger contre les intrusions dans le compte et les données, et connaître les étapes à suivre si votre compte Google est compromis.
Les utilisateurs d'iPhone et d'iPad peuvent vérifier et supprimer tout appareil de leur compte qu'ils ne reconnaissent pas. Vous devriez vous assurer que votre compte Apple utilise un mot de passe long et unique (idéalement enregistré dans un gestionnaire de mots de passe) et que votre compte a également l'authentification à deux facteurs activée. Vous devriez également changer le code d'accès de votre iPhone ou iPad si vous pensez que quelqu'un a physiquement compromis votre appareil.
Si vous avez besoin d'aide ou si vous connaissez quelqu'un qui en a besoin, la National Domestic Violence Hotline (1-800-799-7233) fournit une assistance gratuite et confidentielle 24h/24 aux victimes de violence domestique et de violence. En cas d'urgence, composez le 911. Le Coalition Against Stalkerware propose des ressources si vous pensez que votre téléphone a été compromis par un logiciel espion.
