Xnspy 跟踪软件监视了数以千计的 iPhone 和 Android 设备

一款鲜为人知的名为 Xnspy 的手机监控应用程序窃取了数万部 iPhone 和 Android 设备的数据，其中大多数设备的所有者并不知道他们的数据已被泄露。

Xnspy 是许多所谓的跟踪软件应用程序之一，这些应用程序以允许父母监控孩子的活动为幌子出售，但明确营销是为了在未经他们许可的情况下监视配偶或家庭伴侣的设备。它的网站自夸，“要抓住不忠的配偶，你需要 Xnspy 在身边”，并且“Xnspy 使报告和数据提取对你来说变得简单。”

跟踪软件应用程序，也称为配偶软件，由可以物理访问一个人的电话的人偷偷植入，绕过设备上的安全保护，并且被设计为隐藏在主屏幕之外，这使得它们难以被发现。一旦安装，这些应用程序将悄无声息地持续上传一个人的手机内容，包括他们的通话记录、短信、照片、浏览历史和精确位置数据，让安装该应用程序的人几乎可以完全访问受害者的数据。

但新发现表明，许多跟踪软件应用程序都存在安全漏洞，并暴露了从受害者手机中窃取的数据。 Xnspy 也不例外。

安全研究人员Vangelis Stykas和Felipe Solferini花了几个月的时间反编译了几个已知的跟踪软件应用程序，并分析了应用程序向其发送数据的网络边缘。他们的研究于本月在BSides London上展示，确定了包括 Xnspy 在内的多个跟踪软件系列中常见且易于发现的安全漏洞，例如开发人员在代码中留下的凭据和私钥以及损坏或不存在的加密。在某些情况下，这些缺陷会暴露受害者被盗的数据，这些数据现在位于其他人不安全的服务器上。

在他们的研究过程中，Stykas 和 Solferini 发现了可以识别每个操作背后的个人的线索和工件，但他们拒绝与跟踪软件操作员分享漏洞的详细信息或公开披露有关缺陷的详细信息，因为担心这样做会使恶意黑客受益并进一步伤害受害者。 Stykas 和 Solferini 表示，他们发现的所有漏洞都很容易被利用，而且可能已经存在多年。

其他人则通过利用这些易于发现的漏洞涉足更模糊的法律水域，其明显目的是将跟踪软件操作暴露为一种警戒主义形式。从 TheTruthSpy stalkerware 及其附属应用程序的服务器中获取并在今年早些时候提供给 TechCrunch 的大量内部数据缓存使我们能够通知数千名设备遭到入侵的受害者。

自从我们调查 TheTruthSpy 以来，TechCrunch 已经获得了更多的跟踪软件数据缓存，包括来自 Xnspy 的数据，暴露了他们的操作和从监视中获利的个人。

Xnspy 宣传其用于监视某人的配偶或同居伴侣的电话监控应用程序。图片来源： TechCrunch（截图）

TechCrunch 看到的数据显示，自 2014 年以来，Xnspy 至少有 60,000 名受害者，其中包括最近记录到 2022 年的数千起新的妥协。大多数受害者是 Android 用户，但 Xnspy 也有从数千部 iPhone 中获取的数据。

许多跟踪软件应用程序是为 Android 构建的，因为植入恶意应用程序比在 iPhone 上更容易，而 iPhone 对于可以安装哪些应用程序和可以访问哪些数据有更严格的限制。 iPhone 的跟踪软件不是植入恶意应用程序，而是利用存储在苹果云存储服务 iCloud 中的设备备份。

利用受害者的 iCloud 凭证，跟踪软件会在所有者不知情的情况下，直接从 Apple 的服务器上持续下载设备的最新 iCloud 备份。 iCloud 备份包含一个人的大部分设备数据，允许跟踪软件窃取他们的消息、照片和其他信息。启用双因素身份验证使恶意个人更难破坏一个人的在线帐户。

我们看到的数据包含超过 10,000 个唯一的 iCloud 电子邮件地址和密码，用于访问受害者的云存储数据，尽管许多 iCloud 帐户连接到不止一台设备。其中，数据包含 6,600 多个身份验证令牌，这些令牌已被积极用于从 Apple 云中泄露受害者的设备数据，尽管其中许多已经过期。考虑到受害者可能面临持续风险，TechCrunch 在发布前向 Apple 提供了被盗用的 iCloud 凭据列表。

我们获得的 Xnspy 数据是未加密的。它还包括进一步揭露 Xnspy 开发人员的信息。

根据其 LinkedIn 页面，Konext 是一家位于巴基斯坦拉合尔的小型开发初创公司，拥有十几名员工。这家初创公司的网站称，这家初创公司专注于“为寻求一体化解决方案的企业定制软件”，并声称已经开发了数十款移动应用和游戏。

Konext 没有宣传的是它开发和维护 Xnspy 跟踪软件。

TechCrunch 看到的数据包括专门为 Konext 开发人员和员工注册的姓名、电子邮件地址和加密密码列表，用于访问内部 Xnspy 系统。

缓存还包括第三方支付提供商的 Xnspy 凭据，这些凭据与 Konext 首席系统架构师的电子邮件地址相关联，根据他的 LinkedIn，他被认为是间谍软件操作背后的主要开发人员。其他 Konext 开发人员使用注册到他们在拉合尔的家庭地址的信用卡来测试用于 Xnspy 和 TrackMyFone 的支付系统，TrackMyFone 也是由 Konext 开发的 Xnspy 克隆。

数据显示，Konext 的一些员工位于塞浦路斯。

与其他跟踪软件开发商一样，Konext 齐心协力向公众隐瞒其活动和开发商的身份，这可能会避免因大规模秘密监视而带来的法律和声誉风险。但 Konext 自己的开发人员留下的编码错误进一步将其参与开发跟踪软件联系起来。

TechCrunch 发现，Konext 的网站与 TrackMyFone 的网站托管在同一台专用服务器上； Serfolet，这是一家总部位于塞浦路斯的实体，拥有一个非常简单的网站，Xnspy 表示该网站代表其客户处理退款。服务器上没有托管其他网站。

TechCrunch 通过电子邮件联系了 Konext 的首席系统架构师征求意见，同时向他的 Konext 和 Xnspy 电子邮件地址发送了电子邮件。相反，一个名叫 Sal 的人回复了我们的电子邮件，他的 Konext 电子邮件地址也在数据中，但拒绝提供他们的全名。 Sal 在与 TechCrunch 的一系列电子邮件中没有质疑或否认该公司与 Xnspy 的链接，但拒绝置评。当被问及受感染设备的数量时，Sal 似乎证实了他的公司的参与，在一封电子邮件中说“你引用的数字与我们拥有的数字不符。”当被要求澄清时，Sal 没有详细说明。

Xnspy 是一长串有缺陷的跟踪软件应用程序中的最新成员： mSpy 、 Mobistealth 、 Flexispy 、 Family Orbit 、 KidsGuard和TheTruthSpy近年来都暴露或泄露了受害者的数据。

如果您或您认识的人需要帮助，全国家庭暴力热线 (1-800-799-7233) 会为家庭暴力和家庭暴力的受害者提供 24/7 免费、保密的支持。如果您遇到紧急情况，请拨打 911。如果您认为您的手机已被间谍软件破坏，反跟踪软件联盟也有资源。您可以通过 Signal 和 WhatsApp 联系本记者，电话 +1 646-755-8849 或发送电子邮件至 [email protected]。

原文： https://techcrunch.com/2022/12/12/xnspy-stalkerware-iphone-android/