近日，一款名为Catwatchful的安卓监控软件因安全漏洞导致数万用户信息泄露。安全研究员埃里克·戴格尔发现，该软件数据库未设防护，客户邮箱及密码全部暴露。

这款伪装成儿童监护工具的软件，能秘密获取手机相册、通讯记录和实时定位。更可远程启动麦克风录音及前后摄像头拍摄。新媒网跨境获悉，此类被应用商店禁用的软件需通过物理接触设备安装，常被用于非自愿监控。

技术分析显示，Catwatchful通过自制API传输数据，并利用谷歌Firebase云平台存储窃取内容。戴格尔指出其API未设置身份验证，致使6.2万客户数据和2.6万台受控设备信息裸奔网络。受影响设备主要集中在墨西哥、哥伦比亚等拉美国家及印度。

检测操作示意图（图源：TechCrunch）

当TechCrunch联系托管服务商后，涉事API账户曾被短暂关停。谷歌发言人爱德华·费尔南德斯回应称："使用Firebase的服务必须遵守条款，我们正展开调查。"目前谷歌已升级Play Protect防护机制，侦测到该软件时将主动预警用户。

新媒网跨境了解到，数据库意外暴露了开发者奥马尔·索卡·查科夫的信息。这位乌拉圭程序员将个人邮箱设为管理账户恢复地址，其领英资料虽转为私密，但关联证据确凿。截至发稿，查科夫未回应质询。

防护指南
尽管软件声称"无法卸载"，仍有应对方案：

1. 拨打543210可强制调出隐藏程序
2. 移除前需制定安全计划，避免惊动安装者
3. 参考反监控软件联盟的防护资源
   
   软件运行界面（图源：TechCrunch）

新媒网跨境认为，这是今年第五起同类软件数据泄露事件。消费者级监控工具虽持续扩散，但其薄弱的安全防护反而让购买者与受害者共同承担风险。建议安卓用户定期使用安全软件扫描设备，对异常权限申请保持警惕。

（编辑注：本文不涉及任何政治立场，仅聚焦技术安全领域动态）

新媒网（公号: 新媒网跨境发布），是一个专业的跨境电商、游戏、支付、贸易和广告社区平台，为百万跨境人传递最新的海外淘金精准资讯情报。

本文来源：新媒网 https://nmedialink.com/posts/4118.html