Los mensajes privados, los mensajes de voz, la navegación por Internet, las contraseñas y los datos de localización son el tipo de datos telefónicos privados que se vigilan en tiempo real, sin que lo sepan cientos de miles de personas de todo el mundo que son rastreadas por un software espía de consumo.
Existe una red masiva de aplicaciones de stalkerware que está recogiendo los datos privados de al menos 400.000 personas a través de aplicaciones de spyware de consumo que comparten un importante fallo de seguridad, según TechCrunch security editor Zack Whittaker’s report this week.
La red de aplicaciones de stalkerware investigada por TechCrunch se presenta como una colección de aplicaciones de spyware para Android de marca blanca que tienen una marca personalizada y sitios web idénticos que afirman ser propiedad de una empresa estadounidense, pero que, según la investigación de TechCrunch, están realmente controladas por una empresa con sede en Vietnam llamada 1Byte.
Apodado "stalkerware" por su capacidad de rastrear y vigilar a las personas sin su consentimiento, el spyware de consumo puede ser instalado fácilmente por cualquier persona con solo unos momentos de acceso al dispositivo de destino. A menudo se comercializan como aplicaciones de seguimiento de niños o aplicaciones para vigilar a los empleados, pero suelen ser utilizadas por maltratadores domésticos que espían a sus ex o actuales parejas. TechCrunch ha llevado several investigations en la industria del software espía para abrir el ojo al público sobre cómo se usan con fines inmorales tanto los creadores de aplicaciones como los usuarios.
En su último informe de TechCrunch, Whittaker escribió que toda una flota de aplicaciones de software espía para Android, nueve que han sido identificadas hasta ahora, comparten una vulnerabilidad de seguridad que permite "un acceso remoto casi ilimitado a los datos de un dispositivo". La vulnerabilidad que Whittaker identifica proviene de un tipo de fallo conocido como referencia directa a objetos inseguros (IDOR), un fallo común de las aplicaciones web que expone archivos o datos en un servidor debido a controles de seguridad inadecuados.
Whittaker dijo que sus esfuerzos por notificar a los creadores de la aplicación y a Codero, la empresa que aloja el software espía en el back-end, han sido infructuosos, por lo que es pertinente que las víctimas estén al tanto.
"Sin expectativas de que la vulnerabilidad se solucione pronto, TechCrunch revela ahora más información sobre las aplicaciones de software espía y el funcionamiento para que los propietarios de los dispositivos comprometidos puedan desinstalar el software espía ellos mismos, si es seguro hacerlo", escribió Whittaker.
CERT/CC, el centro de divulgación de vulnerabilidades del Instituto de Ingeniería de Software de la Universidad Carnegie Mellon, ha publicado un vulnerability note sobre el problema.
TechCrunch identificó las aplicaciones comprometidas, que son prácticamente idénticas en apariencia y funcionamiento, como Copy9, MxSpy, TheTruthSpy, iSpyoo, SecondClone, TheSpyApp, ExactSpy, FoneTracker y GuestSpy.
TechCrunch ha creado una explicación sobre how to detect and remove these apps de tu dispositivo si ha sido comprometido. TechCrunch advierte que eliminar el stalkerware probablemente alertará a la persona que lo colocó, lo que podría suscitar una situación de inseguridad, así que asegúrate de tener un plan de seguridad. Visita la página web Coalition Against Stalkerware para obtener consejos sobre cómo crear un plan de seguridad y otros recursos.
Como líderes de la campaña para stop stalkerware la EFF insta a la Comisión Federal de Comercio a que inicie una investigación sobre 1Byte y su red de aplicaciones de acoso para proteger a los posibles objetivos de los acosadores y maltratadores domésticos, como ya ha hecho en casos similares.La FTC prohibió el año pasado a la empresa de aplicaciones para Android Support King La FTC prohibió el año pasado a la empresa de aplicaciones para Android y a su director general, Scott Zuckerman, el negocio de la vigilancia por su aplicación de acoso SpyFone. El caso de la FTC contra Support King, la primera prohibición total de una empresa de software de acoso, se produjo dos años después de que la EFF y su Directora de Ciberseguridad, Eva Galperin, lanzaran la Coalition Against Stalkerware para combatir y cerrar las aplicaciones maliciosas de stalkerware. Anteriormente, la acción más fuerte de la FTC contra un desarrollador de stalkerware implicó un acuerdo de 2019 que impidió a Retina-X distribuir sus aplicaciones móviles hasta que pudiera asegurar que sus aplicaciones sólo se utilizaban para "fines legítimos." La instalación de un software espía oculto en el dispositivo de otra persona para vigilar de forma encubierta sus comunicaciones puede violar una serie de leyes, como la Ley de Fraude y Abuso Informático (CFAA), los estatutos de intervención telefónica y las leyes contra el acoso.
El stalkerware es, en sí mismo, una herramienta peligrosa para el abuso tecnológico. El stalkerware inseguro es doblemente peligroso porque deja a las víctimas vulnerables a una gama completamente nueva de abusadores. Empresas como 1Byte tienen pocos incentivos para crear stalkerware seguro cuando siempre pueden cambiar el aspecto de su producto y venderlo con otro nombre. Investigaciones como la de Whittaker son esenciales para mantener a los usuarios a salvo de sus abusadores y de los hackers oportunistas, pero deben ir seguidas de acciones por parte de la FTC.