Il fidanzato di Jennifer ha detto che non le è stato permesso di inserire una password sul suo telefono.

“Ha detto che non ne avevo bisogno se mi fidavo di lui”, ha detto. Ma questo non significava solo che avrebbe potuto passare attraverso i suoi messaggi se avesse lasciato il dispositivo in giro.

“Poteva vedere tutto quello che stavo facendo, non importa dove fossi. Quando ci siamo lasciati, ha iniziato a pedinarmi. Mi sono sentita così violata quando l’ho scoperto.”

Jennifer — non il suo vero nome-è una delle tante vittime di stalking che è stato aiutato da Operation Safe Escape, un gruppo di sicurezza con sede negli Stati Uniti che lavora con le vittime di violenza domestica, per identificare e trattare con potente software di monitoraggio installato segretamente sul suo telefono. Secondo il gruppo, questa violazione non è insolita.

Le app utilizzate per lo stalking e la sorveglianza segreta, che percorrono una linea legale quando si tratta di privacy dei dati, si nascondono su migliaia di telefoni, nonostante siano vietate dai principali app store.

App come mSpy, TheTruthSpy e FlexiSPY consentono agli utenti di monitorare l’attività del telefono di qualcun altro, inclusi i registri delle chiamate, il contenuto dei messaggi di testo e chat, i dati GPS e le foto. Spesso pubblicizzati come strumenti di” controllo parentale “o” monitoraggio dei dipendenti”, molte app stalkerware si pubblicizzano anche come un modo per catturare i partner che imbrogliano e notare che possono essere installati in modo invisibile sul telefono di un bersaglio.

L’installazione richiede generalmente l’accesso fisico al dispositivo; gli utenti possono quindi nascondere l’icona dell’app e visualizzare il contenuto del telefono da remoto, accedendo a una dashboard online che monitora la sua attività.

Anche se queste applicazioni sono segrete su numeri di utenti e ricavi, società di cyber-sicurezza Kaspersky Labs ha detto che un numero crescente di persone sono state attaccate da stalkerware.

L’anno scorso Kaspersky ha trovato e rimosso 58.000 istanze di stalkerware dopo che i clienti hanno utilizzato la sua app antivirus, che cerca codice dannoso, per eseguire la scansione dei propri dispositivi. A luglio 2019 il suo specifico prodotto anti-stalkerware, che è stato rilasciato ad aprile, aveva rilevato app dannose sui telefoni appartenenti a oltre 7.000 clienti in tutto il mondo.

Stalkerware ” può essere molto più grave di altri tipi di malware . . . perché è fatto per essere usato come strumento per l’abuso della privacy di un’altra persona ed è spesso usato da abusatori domestici”, ha detto il ricercatore di sicurezza Alexey Firsh.

La società anti-spyware Certo ha anche affermato che la domanda è ” certamente aumentata negli ultimi anni”.

‘Sorveglianza illecita’

La disponibilità economica delle app di sorveglianza personale può avere effetti devastanti. Nel 2014 un sondaggio condotto dalla National Public Radio su 72 rifugi per la violenza domestica negli Stati Uniti ha scoperto che l ‘ 85 per cento aveva assistito le vittime i cui abusatori li avevano rintracciati usando il GPS. Lo stesso anno, la rete nazionale per porre fine alla violenza domestica ha scoperto che il 54 per cento degli abusatori aveva rintracciato i telefoni cellulari delle loro vittime utilizzando stalkerware.

L’anno scorso, tra crescenti preoccupazioni, il senatore degli Stati Uniti Richard Blumenthal ha cercato informazioni da nove appmakers che offrono software di monitoraggio, tra cui mSpy e FlexiSPY, su come hanno assicurato i loro prodotti non venivano utilizzati per “scopi illegali”, come lo stalking o “sorveglianza illecita”.

Lo spyware è vietato dalla maggior parte dei principali app store, inclusi Apple e Google. Ad aprile Apple ha rimosso diverse app di controllo parentale per il fatto che erano eccessivamente invasive e Google ha rimosso quattro app stalkerware dal suo negozio questa settimana dopo che i ricercatori della società antivirus Avast li hanno identificati.

Tuttavia, app come mSpy possono essere scaricate direttamente sui telefoni Android tramite le loro pagine Internet. Questo non può essere fatto su iPhone a meno che non siano “jailbroken”, un processo che rimuove alcune impostazioni di sicurezza installate da Apple. Molte applicazioni spyware pubblicizzare download per iPhone jailbroken.

Alcune app offrono anche una soluzione alternativa per iPhone, che richiede all’utente di accedere ai dettagli di accesso iCloud del target. Possono quindi monitorare da remoto tutte le informazioni di cui è stato eseguito il backup sull’account iCloud, anche se non sono in grado di origliare le chiamate o ascoltare l’ambiente circostante di un telefono.

Questa soluzione non richiede all’utente di ottenere l’accesso fisico al telefono, a meno che l’autenticazione a due fattori-che chiede ai proprietari di account iCloud di approvare gli accessi sui nuovi dispositivi — sia in atto.

Mentre spiegava questa restrizione, un rappresentante dell’app di monitoraggio Mobistealth ha fornito un link a una pagina Web che spiegava come disabilitare l’autenticazione a due fattori.

Poiché Apple non è in grado di determinare se qualcuno con credenziali iCloud corrette è il proprietario dell’account o un attore dannoso, c’è poco che può fare.

Un portavoce di mSpy ha detto che la sua tecnologia non era spyware, ma “software di controllo parentale” sviluppato solo per questo scopo. I genitori possono nascondere l’icona dell’app per impedire ai bambini di disinstallarlo, hanno aggiunto. Anche se la sua applicazione potrebbe essere “abusato”, mSpy ha detto che non poteva dire se questo stava accadendo dal momento che i dati degli utenti sono crittografati.

‘a Differenza di qualsiasi nella storia recente’

Nel mese di giugno i ricercatori dell’Università di Toronto ha concluso in uno studio di stalkerware app che alcuni prodotti sono stati “apertamente progettato appositamente per aggirare la privacy e il controllo”. Hanno anche suggerito le applicazioni erano in violazione delle nuove norme sulla privacy dell’UE, nel regolamento generale sulla protezione dei dati.

Il software “non soddisferebbe nessuna delle condizioni GDPR” relative alla raccolta e all’utilizzo dei dati personali, hanno detto i ricercatori. Dato che le vittime di stalking e monitoraggio potrebbero non sapere che un’app è installata sul proprio telefono, non sono in grado di fare scelte sulla raccolta e l’elaborazione delle loro informazioni sensibili — una parte fondamentale del GDPR — hanno detto.

FlexiSPY, che è stato nominato nel rapporto, pubblicizza servizi come “spiare” i testi, “anche i messaggi cancellati”, e dice che il suo software “non rilevabile” può aiutare a catturare “barare” coniugi. Highster Mobile e Mobistealth commercializzano anche i loro prodotti come strumenti per catturare partner infedeli, mentre Hoverwatch sottolinea che la sua funzione “stealth mode” è utile quando “devi prendere la situazione nelle tue mani”.

TheTruthSpy parla anche del suo software come alternativa a “hackerare” un “cellulare della vittima”.

Tutte le app hanno rifiutato di commentare. Ma i loro termini di utilizzo — alcuni dei quali dicono esplicitamente che sono conformi al GDPR — generalmente affermano che gli utenti devono ottenere il consenso dal proprietario del telefono di destinazione prima di installare il software.

“L’utente è l’unico responsabile del modo in cui utilizza il software, & per il rispetto di tutte le leggi pertinenti”, affermano i termini di Flexispy. ” Se installi o tenti di installare il nostro software su un telefono che non possiedi o hai il consenso adeguato, coopereremo con i funzionari della legge nella misura massima possibile”, dice Highster Mobile.

Questo è “negare la loro responsabilità”, ha detto Cynthia Khoo, ricercatrice presso Citizen Lab e uno degli autori del rapporto. “Non abbiamo visto prove che queste aziende prendessero misure proattive per prevenire abusi o violenze”, ha detto.

In caso di violazione dei dati, le app stalkerware sarebbero obbligate a notificare i propri clienti. Ma queste persone non sarebbero necessariamente quelle i cui dati erano a rischio. Questo è un “grave fallimento”, ha detto Christopher Parsons, autore principale del rapporto.

Diverse altre applicazioni di monitoraggio, tra cui Family Orbit e Retina-X, sono stati gli obiettivi di “hacker etici”, che hanno rotto nei loro sistemi e ottenuto dati sensibili per dimostrare debolezze di sicurezza.

Sostenendo di essere GDPR compliant sulla base del consenso, mentre passando sulla responsabilità per ottenere tale consenso e sistemi di pubblicità esplicitamente per convertire il monitoraggio, sembrano essere “completamente converse” e “posizioni contrarie”, ha detto Paula Barrett, partner e co-lead di cyber security e privacy dei dati presso lo studio legale Eversheds Sutherland.

Il Comitato europeo per la protezione dei dati ha dichiarato che nessun caso riguardante stalkerware è stato portato al suo livello, anche se non è stato possibile dire se qualcuno fosse stato portato dalle autorità nazionali.

Il commissario canadese per la privacy, che ha contribuito a finanziare il rapporto di Toronto, ha detto che stava esaminando i risultati. Alcune delle raccomandazioni hanno fatto eco ” preoccupazioni e raccomandazioni che abbiamo sollevato per qualche tempo”, ha detto un portavoce.

Quando è stato chiesto perché mSpy non era disponibile sul Play store di Google, un rappresentante del servizio clienti ha detto che il negozio “non piace quello che stiamo facendo qui”. Alla domanda sul perché, hanno detto che “non importa” e hanno inviato un link a un video che mostra come scaricare il software sui telefoni Android.

Queste applicazioni rappresentano “la democratizzazione della sorveglianza diverso da qualsiasi cosa posso pensare nella storia recente”, ha detto il dottor Parsons. “È incredibilmente intimo e invasivo.”