黑吃黑事件——黑客攻击SpyHuman监控软件，4.4亿多次通话记录被泄漏

一提到黑客攻击，我们下意识的会想到是黑客对一些“傻白甜”的用户采取的攻击，但事实证明，黑客的江湖也会出现黑吃黑的现象，近日就有黑客攻击SpyHuman监控软件，获取用户短信和通话信息。

SpyHuman的监控过程

这一数据泄漏事件表明，目前黑客已经把存储了大量隐私信息的间谍软件行业作为未来的攻击目标。黑客认为，大部分出售间谍软件的公司都会进行非法跟踪和滥用间谍功能。比如SpyHuman，它的产品就是在打市场的擦边球，因为这些产品既然能监控你的孩子的安全，就能监控其他人，而这些包含数据和图像的信息就会非常的危险。SpyHuman可以获取实时数据上传的最新信息，并将用户的所有数据备份到服务器上。SpyHuman打出的广告就是“您想监视未成年孩子的智能手机活动吗？安装了它，您就可以监控通话详情，短信，位置，浏览历史记录等等，无需Root，全天候技术支持，简易安装……”

按着这名黑客的攻击理由，他认为，没有人有权这样做，同样这些应用程序和提供商也不能这样做，在他看来，利用隐私信息赚钱是可耻的。

SpyHuman是一家向销售恶意软件的公司，总部位于印度，也是全球第5个被攻击的出售间谍软件的公司。SpyHuman是SpyHuman公司开发的一个Android应用程序，它能监控你的孩子和员工的实时状态。SpyHuman的手机追踪器应用程序在目标设备上保持隐形状态，收集监控人的所有活动而不被他们所知，比如监控孩子或员工的实时GPS位置，阅读设备上的WhatsApp和Facebook消息以及远程打开设备的麦克风，然后，所有收集的数据都会显示在仪表板中供监控者查看。同时被监控者在目标设备上无法检测到该应用程序，SpyHuman支持任何Android 3.0或更高版本的Android设备。

在撰写本文时，SpyHuman的网站侧重于对员工和儿童监控，并没有明确提示是否可以监控商业合作伙伴，配偶或情人，因为这么做通常都是非法的。然而，一些评论网站和社交媒体都会介绍如何把它应用到这些非法的目的中，特别是SpyHuman页面的档案包括诸如“知道你的伴侣是否在欺骗你”这样的短语，并建议监控你丈夫的短信，以防他有外遇。

SpyHuman的数据被盗经过

目前根据这名黑客的描述，被盗数据包括明显的短信内容和通话元数据即受感染设备拨打或接听电话的电话号码，以及SpyHuman恶意软件泄漏的这些信息的操作时间和日期。目前，美国科技媒体网站Motherboard已经通过黑客中间人——法国安全研究员巴蒂斯特·罗伯特（Baptiste Robert）获得了一份被盗的数据样本。

罗伯特表示，他已经验证了这个黑客提供的漏洞，并且通过SpyHuman的官网提取了超过4.4亿多次的通话详细信息，这些被泄漏的数据本身就包括明显文本消息和呼叫元数据的内容。

罗伯特还分享了黑客拍摄的技术展示视频，其中演示了如何利用网站中的基本安全问题来获取客户数据。登录SpyHuman后，用户可以创建一个免费帐户，此时黑客会显示一个经过伪装的空白屏幕，一旦SpyHuman收集了短信日志，黑客也就会收集到相应的短信日志。然后，黑客对URL进行一个更改，再继续收集其他用户的短信。

罗伯特向Motherboard展示了其中的一段短信内容：“你是在家里还是外面”；“我可以晚点给你打电话吗?”……其中有些内容还是印地语（又称北印度语）。不过Motherboard并没有问这个信息是谁发给谁的，比如是父母发给孩子的，还是配偶之间的，还是员工和老版之间的。

黑客展示的视频中包含了两个看似属于被盗用户的电子邮件地址，为了证实这段视频确实是通过SpyHuman网站进行的，Motherboard的安检人员试图通过这些电子邮件地址在SpyHuman的网站上注册账户，结果失败了，这证明这些电子邮件地址已经在SpyHuman注册过了，视频确实是在SpyHuman网站上拍摄的。

SpyHuman的回应

Motherboard就此此事询问了SpyHuman，该公司在一封电子邮件中，明确表示了被盗数据属于其网站存储的信息。该公司表示：

我们非常关心客户和客户隐私数据。在收到你们的电子邮件后，我们立即采取措施保护我们的系统。其实我们不是一个间谍软件公司，因为在应用程序安装的初始阶段，我们总是询问用户安装此应用程序的目的。如果他们选择儿童或员工监控，那么我们的应用程序将保持隐藏并以隐身模式运行。否则，它将创建可见的图标，以便人们可以知道这样的应用程序安装在他/她的设备上。

其实，对于SpyHuman的辩解，我认为根本没有说服力，一些想要监控伴侣或配偶的人理论上完全可以把监控对象选择为儿童或员工，以便在目标设备上隐藏它。

去年，Motherboard也从另外两家消费者间谍软件公司Flexispy和Retina-X获得过类似的被盗数据。不过，两家公司的反应各不同，在发生违规行为时，FlexiSpy将此事件描述为“虚假消息”，而在一名黑客反复清除Retina-X的服务器后，该公司决定在今年3月完全关闭其监控软件。2017年4月，黑豹男孩（Leopard Boy）组织的两名黑客披露了获取自Retina-X以及FlexiSpy的约13万条帐户细节信息。Retina-X以及FlexiSpy这两家公司主要负责向对婚姻关系感到紧张的配偶及希望追踪子女动向的父母提供隐蔽监视工具，包括向笔记本电脑与移动设备中安装工具以记录其键盘、麦克风、电话及照片存储等内容。

还有就是在今年2月，另一位黑客向Motherboard提供了来自另外两家消费者间谍软件公司Mobistealth和Spy Master Pro的数据，Mobistealth的一些客户包括FBI（美国联邦调查局），ICE（美国移民和海关执法局）和DHS（国土安全部）的员工。