Jennifer ’ s pojkvän sa att hon inte fick lägga ett lösenord på sin telefon.

” han sa att jag inte behövde det om jag litade på honom,” sa hon. Men det innebar inte bara att han kunde gå igenom hennes meddelanden om hon lämnade enheten liggande.

” han kunde se allt jag gjorde, oavsett var jag var. När vi bröt upp, han började förfölja mig. Jag kände mig så kränkt när jag fick reda på det.”Jennifer — inte hennes riktiga namn-är ett av de många offren för förföljelse som fick hjälp av Operation Safe Escape, en USA-baserad säkerhetsgrupp som arbetar med offer för våld i hemmet, för att identifiera och hantera kraftfull spårningsprogramvara installerad i hemlighet på sin telefon. Enligt gruppen är denna överträdelse inte ovanlig.

appar som används för förföljelse och hemlig övervakning, som slår en fin juridisk linje när det gäller datasekretess, gömmer sig på tusentals telefoner, trots att de är förbjudna av stora appbutiker.

appar som mSpy, TheTruthSpy och FlexiSpy tillåter användare att övervaka någon annans telefon aktivitet, inklusive deras samtalsloggar, innehållet i text-och chattmeddelanden, GPS-data och foton. Ofta faktureras som” föräldrakontroll ”eller” anställd övervakning ” verktyg, många stalkerware apps också annonsera sig som ett sätt att fånga fusk partners — och notera att de kan installeras osynligt på ett mål telefon.

Installation kräver i allmänhet fysisk åtkomst till enheten; användare kan sedan dölja appens ikon och visa innehållet på telefonen på distans genom att logga in på en online-instrumentpanel som övervakar dess aktivitet.

även om dessa appar är hemliga om användarantal och intäkter, sa cybersäkerhetsföretaget Kaspersky Labs att ett växande antal människor attackerades av stalkerware.förra året hittade och tog Kaspersky bort 58 000 instanser av stalkerware efter att kunder använde sin antivirusapp, som letar efter skadlig kod, för att skanna sina enheter. I juli 2019 hade dess specifika anti-stalkerware-produkt, som släpptes i April, upptäckt skadliga appar på telefoner som tillhör mer än 7 000 kunder över hela världen.

Stalkerware ” kan vara mycket svårare än andra typer av skadlig kod . . . eftersom det är gjord för att användas som ett verktyg för missbruk av andras integritet och ofta används av inhemska missbrukare”, säger säkerhetsforskaren Alexey Firsh.

Anti-spyware-företaget Certo sa också att efterfrågan hade ”säkert ökat de senaste åren”.

’olaglig övervakning’

den billiga tillgängligheten av personliga övervakningsappar kan ha förödande effekter. I 2014 en undersökning av National Public Radio av 72 våld skyddsrum i USA upptäckte att 85 procent hade hjälpt offer vars missbrukare hade spårat dem med hjälp av GPS. Samma år, det nationella nätverket för att avsluta våld i hemmet fann att 54 procent av missbrukarna hade spårat sina offers mobiltelefoner med stalkerware.

förra året, mitt stigande oro, USA: s senator Richard Blumenthal sökte information från nio appmakers som erbjuder mjukvara, inklusive mSpy och FlexiSpy, om hur de Säker deras produkter inte används för ”olagliga syften”, såsom stalking eller ”olaglig övervakning”.

spionprogram är förbjudet av de flesta större appbutiker, inklusive Apples och Googles. I April tog Apple bort flera föräldrakontrollappar med motiveringen att de var alltför invasiva och Google tog bort fyra stalkerware-appar från sin butik den här veckan efter att forskare på antivirusföretaget avast identifierade dem.

appar som mSpy kan dock laddas ner direkt till Android-telefoner via deras internetsidor. Detta kan inte göras på iPhones om de inte är ”jailbroken”, en process som tar bort vissa säkerhetsinställningar installerade av Apple. Många spionprogram apps annonsera nedladdningar för jailbroken iPhones.

Vissa appar erbjuder också en iPhone-lösning, vilket kräver att användaren får tillgång till målets iCloud-inloggningsuppgifter. De kan sedan fjärrövervaka all information som säkerhetskopieras till iCloud-kontot, men kan inte avlyssna samtal eller lyssna på en telefons omgivning.

den här lösningen kräver inte att användaren får fysisk åtkomst till telefonen, såvida inte tvåfaktorsautentisering-som ber iCloud — kontoägare att godkänna inloggningar på nya enheter — är på plats.

samtidigt förklara denna begränsning, en representant för övervakning app Mobistealth gav en länk till en webbsida som förklarade hur man inaktiverar tvåfaktorsautentisering.eftersom Apple inte kan avgöra om någon med rätt iCloud-referenser är kontoägaren eller en skadlig skådespelare, finns det lite de kan göra.en talesman för mSpy sa att dess teknik inte var spionprogram, men ”föräldrakontrollprogramvara” utvecklades endast för det ändamålet. Föräldrar kan dölja appens ikon för att förhindra att barn avinstallerar den, tillade de. Även om appen kan ”missbrukas”, sa mSpy att den inte kunde berätta om detta hände eftersom användardata är krypterade.

”till skillnad från vad som helst i den senaste historien”

i juni avslutade forskare vid University of Toronto i en studie av stalkerware-appar att vissa produkter var ”öppet utformade specifikt för att kringgå integritet och kontroll”. De föreslog också att apparna stred mot EU: s nya Integritetsregler i den allmänna dataskyddsförordningen.

programvaran ”skulle inte uppfylla något av GDPR-villkoren” i samband med insamling och användning av personuppgifter, sa forskarna. Med tanke på att offer för förföljelse och övervakning kanske inte vet att en app är installerad på sin telefon, kan de inte göra val om insamling och behandling av deras känsliga information — en viktig del av GDPR — sa de.

FlexiSpy, som namngavs i rapporten, annonserar tjänster som ”spionering” på texter, ”till och med raderade meddelanden” och säger att dess ”odetekterbara” programvara kan hjälpa till att fånga ”fusk” makar. Highster Mobile och Mobistealth marknadsför också sina produkter som verktyg för att fånga otrogna partners, medan Hoverwatch betonar att dess ”stealth mode” – funktion är användbar när ”du måste ta situationen i egna händer”.

TheTruthSpy talar även om sin programvara som ett alternativ till ”hacking” en ”offrets mobiltelefon”.

alla appar nekade att kommentera. Men deras användarvillkor — av vilka vissa uttryckligen säger att de är GDPR-kompatibla-anger i allmänhet att användare måste få samtycke från ägaren till måltelefonen innan de installerar programvaran.

” du är ensam ansvarig för hur du använder programvaran, & för att följa alla relevanta lagar”, säger Flexispys villkor. ”Om du installerar eller försöker installera vår programvara på en telefon som du inte äger eller har rätt samtycke, kommer vi att samarbeta med lagtjänstemän i största möjliga utsträckning”, säger Highster Mobile.

detta är” att avstå från sitt ansvar”, säger Cynthia Khoo, forskare vid Citizen Lab och en av rapportens författare. ”Vi såg inte bevis på att dessa företag tog några proaktiva åtgärder för att förhindra missbruk eller våld,” sa hon.

i händelse av ett dataintrång skulle stalkerware apps vara skyldiga att meddela sina kunder. Men dessa människor skulle inte nödvändigtvis vara de vars data var i fara. Detta är ett ”allvarligt misslyckande”, säger Christopher Parsons, rapportens huvudförfattare.

flera andra övervakningsappar, inklusive Family Orbit och Retina-X, har varit målen för ”etiska hackare”, som har brutit sig in i sina system och fått känsliga data för att visa säkerhetssvagheter.

hävdar att vara GDPR-kompatibel på grundval av samtycke, samtidigt som ansvaret för att erhålla det samtycket och uttryckligen annonseringssystem för konverteringsövervakning verkar vara ”helt converse” och ”motsatta ståndpunkter”, säger Paula Barrett, partner och co-lead för cybersäkerhet och datasekretess på advokatbyrån Eversheds Sutherland.

Europeiska dataskyddsstyrelsen sade att inga fall som rör stalkerware hade eskalerats till sin nivå, men det kunde inte säga om någon hade väckts av nationella myndigheter.

den kanadensiska Privacy Commissioner, som hjälpte till att finansiera Toronto-rapporten, sa att den granskade resultaten. Några av rekommendationerna ekade” oro och rekommendationer som vi har tagit upp under en tid”, sa en talesman.

på frågan varför mSpy inte var tillgängligt i Googles Play store sa en kundtjänstrepresentant att butiken ”inte gillar vad vi gör här”. På frågan Varför sa de att det” spelar ingen roll ” och skickade en länk till en video som visar hur man laddar ner programvaran till Android-telefoner.

dessa appar representerar ”demokratiseringen av övervakning till skillnad från vad jag kan tänka mig i den senaste historien”, säger Dr Parsons. ”Det är otroligt intimt och invasivt.”