Upoznati smo sa značajnom povredom sigurnosti u operaciji nadzornog softvera za Android, poznatog kao Catwatchful. Ova povreda je dovela do izlaganja kompletne baze podataka koja obuhvata preko 62.000 korisničkih naloga. Uključeni podaci podrazumijevaju nešifrovane lozinke i adrese elektronske pošte. Ovu informaciju je objavio sigurnosni istraživač koji je otkrio ovaj propust u junu 2025. godine.
Kanadski istraživač za sajber sigurnost, Eric Daigle, razotkrio je ovaj nedostatak putem SQL injekcijskog napada. Ovaj napad mu je omogućio da izvuče cijelu korisničku bazu podataka iz usluge stalkerware-a. Pored toga, u sklopu ove povrede, otkriveni su podaci približno 26.000 žrtava čiji su telefoni bili nadzirani bez njihovog znanja.
Catwatchful se reklamirao kao potpuno nevidljivi softver za nadzor, naglašavajući da “ne može biti otkriven” i “ne može biti deinstaliran”. Međutim, pozadinska infrastruktura ove usluge pokazala se znatno manje sigurnom u odnosu na tvrdnje iz marketinga.
Problem je potekao od neautentifikovanog PHP API endpointa koji je bio podložan SQL injekcijskim napadima. Uprkos korištenju hibridne arhitekture sa Googleovom Firebase platformom za pohranu ukradenih podataka žrtava, Catwatchful je održavao zasebnu MySQL bazu podataka koja je sadržavala korisničke akreditive, a kojoj su nedostajale osnovne sigurnosne zaštite.
Iz procurjele baze podataka postalo je jasno da Catwatchful djeluje najmanje od 2018. godine, a žrtve su uglavnom locirane u Meksiku, Kolumbiji, Indiji, Peruu, Argentini, Ekvadoru i Boliviji. Špijunski softver je prikupljao sveobuhvatne lične podatke, uključujući fotografije, tekstualne poruke, evidencije poziva, podatke o lokaciji, te je imao mogućnost daljinskog aktiviranja kamera i mikrofona uređaja.
Ovaj propust je također razotkrio identitet administratora ove operacije, Omara Socu Charcova, developera sa sjedištem u Urugvaju, koji nije odgovorio na upite novinara u vezi s ovim pitanjem.
Catwatchful je koristio sofisticirani sistem sa dva servera. Registracija korisnika bi pokrenula kreiranje naloga kako na Google Firebase, tako i u prilagođenoj bazi podataka hostovanoj na domenu catwatchful.pink. Dok je Firebase pružao robusnu sigurnost za pohranu podataka žrtava, prilagođeni server koji je upravljao korisničkom autentifikacijom bio je potpuno ugrožen.
Daigle je otkrio da API pozivi usluge uopće nisu bili autentifikovani, što je omogućavalo bilo kome da pristupi podacima uređaja koristeći jednostavne parametre. Prilikom testiranja ranjivosti na SQL injekcije putem automatizovanih alata, uspješno je identificirao vremenski zasnovane slijepe i union-bazirane injekcijske tačke koje su omogućile potpuno izvlačenje baze podataka.
Ovaj incident predstavlja peti značajniji propust u stalkerware-u samo u 2025. godini, ukazujući na sistemske sigurnosne propuste širom industrije nadzornog softvera. Prethodni propusti su izložili milione evidencija žrtava iz usluga uključujući SpyX, Cocospy, Spyic i Spyzie. Obrazac ukazuje da, dok ove usluge prikupljaju izuzetno osjetljive lične podatke, dosljedno ne uspijevaju implementirati osnovne mjere sajber sigurnosti kako bi zaštitile svoje klijente ili žrtve.
Nakon odgovorne objave, TechCrunch je kontaktirao različite provajdere usluga. Kompanija za hosting je privremeno suspendovala Catwatchful, iako je usluga kasnije migrirala na HostGator. Google je dodao Catwatchful u svoj sistem detekcije Play Protect, ali još uvijek nije deaktivirao Firebase instancu koja pohranjuje podatke žrtava.
Sigurnosni stručnjaci navode da Android korisnici mogu otkriti Catwatchful biranjem “543210” na svom uređaju, što aktivira ugrađeni backdoor koji otkriva skrivenu aplikaciju. Izloženi akreditivi su dodani u uslugu obavještavanja o propustima Have I Been Pwned, omogućavajući zahvaćenim korisnicima da provjere da li su njihovi nalozi kompromitovani. Ovaj propust naglašava inherentne rizike povezane sa stalkerware operacijama, ilustrujući da ovi nelegalni alati za nadzor predstavljaju prijetnju kako počiniteljima, tako i žrtvama, zbog neadekvatnih sigurnosnih praksi i nedovoljnih mjera zaštite podataka.
