Upoznati smo sa značajnim bezbjednosnim propustom u operaciji nadzornog softvera za Android, poznatog kao Catwatchful. Ovaj propust je doveo do izlaganja kompletne baze podataka koja obuhvata preko 62.000 korisničkih naloga. Uključeni podaci podrazumijevaju nešifrovane lozinke i adrese elektronske pošte. Ovu informaciju je objavio bezbjednosni istraživač koji je otkrio ovaj propust u junu 2025. godine.
Kanadski istraživač iz oblasti sajber bezbjednosti, Eric Daigle, razotkrio je ovaj nedostatak putem SQL injekcionog napada. Ovaj napad mu je omogućio da izvuče cijelu korisničku bazu podataka iz usluge stalkerware-a. Pored toga, u sklopu ovog propusta, otkriveni su podaci približno 26.000 žrtava čiji su telefoni bili nadzirani bez njihovog znanja.
Catwatchful se reklamirao kao potpuno nevidljivi softver za nadzor, naglašavajući da “ne može biti otkriven” i “ne može biti deinstaliran”. Međutim, pozadinska infrastruktura ove usluge pokazala se znatno manje bezbjednom u odnosu na tvrdnje iz marketinga.
Problem je potekao od neautentifikovanog PHP API endpointa koji je bio podložan SQL injekcionim napadima. Uprkos korišćenju hibridne arhitekture sa Googleovom Firebase platformom za skladišćenje ukradenih podataka žrtava, Catwatchful je održavao zasebnu MySQL bazu podataka koja je sadržavala korisničke akreditive, a kojoj su nedostajale osnovne bezbjednosne zaštite.
Iz procurjele baze podataka postalo je jasno da Catwatchful djeluje najmanje od 2018. godine, a žrtve su uglavnom locirane u Meksiku, Kolumbiji, Indiji, Peruu, Argentini, Ekvadoru i Boliviji. Špijunski softver je prikupljao sveobuhvatne lične podatke, uključujući fotografije, tekstualne poruke, evidencije poziva, podatke o lokaciji, te je imao mogućnost daljinskog aktiviranja kamera i mikrofona uređaja.
Ovaj propust je takođe razotkrio identitet administratora ove operacije, Omara Socu Charcova, developera sa sjedištem u Urugvaju, koji nije odgovorio na upite novinara u vezi sa ovim pitanjem.
Catwatchful je koristio sofisticirani sistem sa dva servera. Registracija korisnika bi pokrenula kreiranje naloga kako na Google Firebase, tako i u prilagođenoj bazi podataka hostovanoj na domenu catwatchful.pink. Dok je Firebase pružao robusnu bezbjednost za pohranu podataka žrtava, prilagođeni server koji je upravljao korisničkom autentifikacijom bio je potpuno ugrožen.
Daigle je otkrio da API pozivi usluge uopšte nijesu bili autentifikovani, što je omogućavalo bilo kome da pristupi podacima uređaja koristeći jednostavne parametre. Prilikom testiranja ranjivosti na SQL injekcije putem automatizovanih alata, uspješno je identifikovao vremenski zasnovane slijepe i union-bazirane injekcione tačke koje su omogućile potpuno izvlačenje baze podataka.
Ovaj incident predstavlja peti značajniji propust u stalkerware alatima samo u 2025. godini, ukazujući na sistemske bezbjednosne propuste širom industrije nadzornog softvera. Prethodni propusti su izložili milione evidencija žrtava iz usluga uključujući SpyX, Cocospy, Spyic i Spyzie. Obrazac ukazuje da, dok ove usluge prikupljaju izuzetno osjetljive lične podatke, dosljedno ne uspijevaju implementirati osnovne mjere sajber bezbjednosti kako bi zaštitile svoje klijente ili žrtve.
Nakon odgovorne objave, TechCrunch je kontaktirao različite provajdere usluga. Kompanija za hosting je privremeno suspendovala Catwatchful, iako je usluga kasnije migrirala na HostGator. Google je dodao Catwatchful u svoj sistem detekcije Play Protect, ali još uvijek nije deaktivirao Firebase instancu koja skladišti podatke žrtava.
Bezbjednosni stručnjaci navode da Android korisnici mogu otkriti Catwatchful biranjem “543210” na svom uređaju, što aktivira ugrađeni backdoor koji otkriva skrivenu aplikaciju. Izloženi akreditivi su dodati u uslugu obavještavanja o propustima Have I Been Pwned, omogućavajući zahvaćenim korisnicima da provjere da li su njihovi nalozi kompromitovani. Ovaj propust naglašava inherentne rizike povezane sa stalkerware operacijama, ilustrujući da ovi nelegalni alati za nadzor predstavljaju prijetnju kako hakerima, tako i žrtvama, zbog neadekvatnih bezbjednosnih praksi i nedovoljnih mjera zaštite podataka.
