Messaggi privati, messaggi vocali, dati riguardo la navigazione su internet e la posizione degli utenti, e le loro password. Questi sono i tipi di dati telefonici privati che vengono monitorati in tempo reale all’insaputa di centinaia di migliaia di persone attorno al mondo tracciate da spyware.
Secondo un’inchiesta pubblicata questa settimana da Zack Whittaker, redattore di articoli di sicurezza informatica presso TechCrunch, esiste un’enorme rete di programmi stalkerware la quale raccoglie i dati di almeno 400.000 persone tramite app spyware condividenti un importante difetto di sicurezza.
La rete di app stalkerware investigata da TechCrunch si presenta come una collana di spyware Android “white-label” con marchi e siti web personalizzati in maniera identica facendo finta di essere proprietà di aziende statunitensi ma essendo veramente controllate, secondo TechCrunch, da una compagnia vietnamita di nome 1Byte.
Denominato “stalkerware” per la sua abilità nel tracciamento e monitoraggio senza il consenso dell’utente, lo spyware personale può essere facilmente installato da chiunque con pochissimo tempo di accesso al device vittima. Sono spesso pubblicizzate come app per il benessere dei bambini o per il monitoraggio degli impiegati, ma sono comunemente utilizzate da partner violenti per spiare i loro compagni ed ex-compagni. TechCrunch ha portato avanti numerose inchieste nel mercato dello spyware per rivelare il loro uso frequentemente immorale da parte di utenti o amministratori stessi di tali applicazioni.
Nell’inchiesta più recente per TechCrunch, Whittaker scrive che una gran parte di questo spyware per dispositivi Android condivide la stessa vulnerabilità, che rende possibile “l’accesso remoto quasi sconfinato dei dati di un dispositivo”. La falla trovata da Whittaker fa parte di una classe di bug conosciuta come “insecure direct object reference” (IDOR) (“riferimenti diretti a oggetti non sicuri”, ndt), un difetto comune nelle applicazioni web la quale rivela file o dati su un server per via di controlli di sicurezza non adeguati.
Whittaker dice che i suoi sforzi per notificare gli sviluppatori delle app e Codero (la compagnia la quale ospita i server dello spyware) non hanno avuto successo, rendendo quindi importante che la consapevolezza delle vittime in merito alle potenziali fughe di dati.
“Senza aspettative che la vulnerabilità sia risolta presto, TechCrunch sta rivelando quanto possibile riguardo alle app e il loro funzionamento in modo che i proprietari di dispositivi infetti possano disinstallare lo spyware da soli, se è sicuro farlo”, scrive Whittaker. CERT/CC, il centro di divulgazione di vulnerabilità informatiche del Software Engineering Institute della Carnegie Mellon University ha pubblicato una nota a riguardo.
TechCrunch ha identificato le app compromesse, praticamente identiche in forma e funzione, come Copy9, MxSpy, TheTruthSpy, iSpyoo, SecondClone, TheSpyApp, ExactSpy, FoneTracker e GuestSpy.
TechCrunch ha creato un articolo divulgativo su come rilevare e rimuovere tali app maligne dal vostro dispositivo se è stato compromesso. TechCrunch avverte che la rimozione dello stalkerware avvertirà probabilmente la persona la quale lo ha installato: questo potrebbe creare una situazione poco sicura, quindi vi preghiamo di assicurarvi di avere un piano per la vostra sicurezza. Visita la pagina web della Coalition Against Stalkerware per delle dritte riguardo la creazione di tale piano ed altre risorse.
Come leader della campagna per fermare lo stalkerware, la EFF sollecita la Federal Trade Commission statunitense a lanciare un’investigazione di 1Byte e la sua rete di app stalkerware per proteggere le potenziali vittime di stalker e perpetratori di abusi domestici, come hanno fatto in casi simili. L’anno scorso la FTC cacciò l’app Android Support King e il suo CEO Scott Zuckerman dal business della sorveglianza per l’app stalkerware SpyFone. Tale inchiesta, il primo divieto totale di una compagnia di stalkerware, fu lanciata due anni dopo l’apertura della Coalition Against Stalkerware per combattere le app maligne di stalkerware da parte della EFF e la sua Direttrice della Cybersecurity Eva Galperin. In passato, l’azione più restrittiva della FTC contro uno sviluppatore di app stalkerware fu un accordo del 2019 il quale fermò Retina-X dal distribuire le sue app finché non poté verificare che fossero solamente utilizzare per “scopi legittimi”. L’installazione di spyware nascosto sul dispositivo di un’altra persona a scopo di monitorare segretamente le loro comunicazioni può violare numerose leggi negli Stati Uniti, tra cui il Computer Fraud and Abuse Act (CFAA) (“Legge contro l’abuso e la frode digitale”, ndt), statuti sull’intercettazione telefonica, nonché leggi anti-stalking.
Lo stalkerware è inerentemente uno strumento pericoloso per l’abuso tramite mezzi tecnologici. Lo stalkerware non sicuro è doppiamente pericoloso, rendendo le vittime vulnerabili a un gruppo completamente nuovo di potenziali abusatori. Le compagnie come 1Byte sono poco incentivate a creare un prodotto di stalkerware sicuro quando possono semplicemente cambiare l’aspetto delle proprie app e venderle sotto altri nomi. La ricerca come quella di Whittaker è essenziale per mantenere gli utenti al sicuro da maltrattatori e hacker opportunistici, ma dev’essere seguita da azioni da parte della FTC per avere successo.