Catwatchful andriod spyware
Az Androidra készült Catwatchful kémprogram súlyos hibája miatt 62 000 felhasználó e-mail címe és jelszava került veszélybe – beleértve az adminisztrátorok hitelesítő adatait is. A spyware-t úgy hirdették, mint invisible child-monitoring alkalmazást, amely az áldozatok fotóit, üzeneteit, élő helyzetét és mikrofon/kamera hangját továbbítja egy webes irányítópultra.
A hibát Eric Daigle fedezte fel, aki egy SQL-injekciós résen keresztül jutott a kutató a Firebase adatbázishoz, ami az összes felhasználói bejegyzéshez hozzáférést biztosított. A logikusan védelmi gyenge rendszer így lehetővé tette, hogy az attacker a bejelentkezési adatokat simán lekérje.
A szolgáltatás egy letöltött APK-s alkalmazás volt, amelyet hozzáférés nélkül telepítettek – tipikus stalkerware módszerrel – fizikailag a célzott eszközre. A Firebase-táblákhoz tartozó fájlok között hangfelvételek és képek szerepeltek, a kapcsolódó URL-ekből kiderült, hogy a rendszer valós idejű parancsokat is kezelt robotikusan.
A probléma 2025. június 9-én került nyilvánosságra, ekkor jelentette a TechCrunch és továbbították a Google-nek. A Google Safe Browsing biztonsági figyelmeztetést adott ki, a Firebase-csapat pedig vizsgálatba kezdett. A hoszting-szolgáltató június 25-én felfüggesztette a domaint, de később egy ideig újra elérhető volt, mielőtt július 2-án lezárták.