信息化觀察網(wǎng)

本文來自微信公眾號“GoUpSec”。

近日，在美國頗為流行的商業(yè)間諜軟件工具pcTattletale登上了美國科技媒體頭條，因?yàn)樵摴ぞ叩陌踩┒磳?dǎo)致17TB用戶敏感數(shù)據(jù)在互聯(lián)網(wǎng)上公開泄露。

“一鍵跟蹤”的爆款商業(yè)間諜軟件

pcTattletale是一款公開銷售的商業(yè)間諜軟件，可安裝在Windows和Android操作系統(tǒng)設(shè)備上，用于遠(yuǎn)程截取屏幕信息取證，廣泛用于跟蹤個(gè)人（例如夫妻互相監(jiān)控、父母監(jiān)控子女）。許多美國酒店入住系統(tǒng)、公司和律師事務(wù)所的電腦也安裝了該軟件，用于監(jiān)控員工、客戶或開展“個(gè)性化營銷”。

pcTattletale最大賣點(diǎn)是易用性，把高端復(fù)雜的間諜軟件做成了老幼婦孺皆可輕松上手的爆款產(chǎn)品。

用戶只需在其官網(wǎng)上注冊，就可獲得定制.exe或.apk跟蹤文件，然后在目標(biāo)設(shè)備上安裝即可實(shí)施持續(xù)跟蹤（實(shí)時(shí)屏幕截圖）。

該定制文件與用戶憑證綁定，從而將安裝過程簡化為只需兩次點(diǎn)擊，把易用性做到了極致。安裝完成后，間諜軟件用戶只需登錄網(wǎng)站帳戶即可觸發(fā)或訪問監(jiān)控對象的屏幕截圖/錄屏視頻。但pcTattletale提供的所謂錄屏視頻記錄并非視頻文件，而是相隔幾秒鐘拍攝的靜態(tài)屏幕截圖，這些屏幕截圖被拼接在一起并以.GIF文件的形式播放，以生成目標(biāo)所需的（視頻）記錄。

暗藏后門泄露17TB敏感數(shù)據(jù)

上周，安全研究人員Eric Daigle發(fā)現(xiàn)pcTattletale的API中存在一個(gè)嚴(yán)重的低級漏洞：該間諜軟件附帶了硬編碼的AWS憑證，可通過隱藏的Webshell后門訪問其亞馬遜存儲桶（用于存儲用戶的截屏數(shù)據(jù)），這意味著攻擊者可輕易獲取安裝了該間諜軟件的設(shè)備的屏幕截圖數(shù)據(jù)。

漏洞披露不久后，pcTattletale遭遇了黑客攻擊，黑客從pcTattletale的亞馬遜S3存儲桶中竊取了高達(dá)17TB敏感數(shù)據(jù)（主要為屏幕截圖）被黑客在互聯(lián)網(wǎng)上公開泄露（下圖），任何人都可獲取，其中一些截圖可追溯到2018年。

黑客公布的數(shù)據(jù)泄露清單包括數(shù)據(jù)庫轉(zhuǎn)儲、stalkerware服務(wù)的完整webroot文件以及其他S3存儲桶內(nèi)容，暴露了多年的用戶敏感信息。Daigle指出，根據(jù)泄露數(shù)據(jù)樣本，大量美國酒店、公司電腦以及至少兩家律師事務(wù)所似乎都受到了該漏洞的攻擊。

雖然pcTattletale花了足足20個(gè)小時(shí)將入侵的官網(wǎng)關(guān)閉，但其客戶端軟件仍然在源源不斷將屏幕截圖上傳到S3存儲桶，直到亞馬遜出手鎖定了pcTattletale的AWS賬戶（下圖）：

值得注意的是，黑客在攻擊中發(fā)現(xiàn)的Webshell后門至少從2011年12月起就隱藏在間諜軟件的后端代碼中，允許通過使用cookie執(zhí)行任意PHP代碼，這引發(fā)了人們對其來源的疑問——它是pcTattletale自己放置的后門，還是其他黑客放置的？

安全人員buran77指出，這表明pcTattletale基本上一直被后門程序控制，并且多年來可能一直有外部行為者竊取數(shù)據(jù)。

“受害者”遍布全美各行各業(yè)

pcTattletale間諜軟件數(shù)據(jù)泄露事件可謂一石激起千層浪，受影響的受害者（間諜軟件用戶及其監(jiān)控目標(biāo)）遍布全美各個(gè)行業(yè)。

根據(jù)安全研究人員maia crimew對泄露數(shù)據(jù)的初步分析，大量企業(yè)和機(jī)構(gòu)都是該工具的忠實(shí)用戶，其中包括銀行、律師事務(wù)所、教育機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)甚至政府機(jī)構(gòu)等。研究人員分享的一些數(shù)據(jù)泄露樣本/用例如下：

●酒店泄露客人信息，例如個(gè)人數(shù)據(jù)和信用卡詳細(xì)信息。

●律師事務(wù)所曝光律師與客戶之間的溝通以及客戶銀行路由信息。

●一家銀行泄露機(jī)密客戶數(shù)據(jù)。

●學(xué)校、托兒所等教育機(jī)構(gòu)監(jiān)視員工或?qū)W生，泄露個(gè)人數(shù)據(jù)。

●醫(yī)療機(jī)構(gòu)泄露患者信息。

●巴勒斯坦政府機(jī)構(gòu)雇員受到監(jiān)控。

●波音公司供應(yīng)商的人力資源部門泄露員工個(gè)人信息。

●科技公司在涉嫌不法行為的員工設(shè)備上秘密安裝pcTattletale，暴露內(nèi)部系統(tǒng)和源代碼。

●一名漏洞賞金獵人安裝了該軟件進(jìn)行滲透測試，然后立即試圖卸載它。

從曝光的泄露數(shù)據(jù)來看，pcTattletale的應(yīng)用場景極為廣泛，不僅被父母用于監(jiān)視孩子，配偶相互監(jiān)視，而且還被大量酒店、律師事務(wù)所、學(xué)校、科技公司（甚至包括波音公司）用于跟蹤員工、客戶。這意味著pcTattletale數(shù)據(jù)泄露事件不僅會泄露大量政企機(jī)密信息，同時(shí)可能引發(fā)大規(guī)模的隱私、商業(yè)倫理和社會問題。

鑒于受影響的公司范圍廣泛且存在重大安全漏洞，安全研究員maia crimew指出，pcTattletale可能面臨被停業(yè)的嚴(yán)重后果，因?yàn)槊绹?lián)邦貿(mào)易委員會(FTC)此前已下令其他美國跟蹤軟件開發(fā)商在發(fā)生數(shù)據(jù)泄露事件后停止運(yùn)營，而pcTattletale的案件也將面臨類似的結(jié)果。

無論最終結(jié)果如何，pcTattletale數(shù)據(jù)泄露/后門事件都暴露了美國數(shù)據(jù)安全治理的嚴(yán)重漏洞，很多專業(yè)人士質(zhì)疑該商業(yè)間諜軟件如何繞過各種數(shù)據(jù)和隱私安全法規(guī)得以公開銷售，并擔(dān)憂同樣主打“屏幕截圖”的微軟Windows的“回憶功能”會引發(fā)另一場更大規(guī)模的隱私災(zāi)難。