Messaggi privati, messaggi vocali, dati riguardo la navigazione su internet e la posizione degli utenti, e le loro password. Questi sono i tipi di dati telefonici privati che vengono monitorati in tempo reale all’insaputa di centinaia di migliaia di persone attorno al mondo tracciate da spyware.

Secondo un’inchiesta pubblicata questa settimana da Zack Whittaker, redattore di articoli di sicurezza informatica presso TechCrunch, esiste un’enorme rete di programmi stalkerware la quale raccoglie i dati di almeno 400.000 persone tramite app spyware condividenti un importante difetto di sicurezza.

La rete di app stalkerware investigata da TechCrunch si presenta come una collana di spyware Android “white-label” con marchi e siti web personalizzati in maniera identica facendo finta di essere proprietà di aziende statunitensi ma essendo veramente controllate, secondo TechCrunch, da una compagnia vietnamita di nome 1Byte.

Denominato “stalkerware” per la sua abilità nel tracciamento e monitoraggio senza il consenso dell’utente, lo spyware personale può essere facilmente installato da chiunque con pochissimo tempo di accesso al device vittima. Sono spesso pubblicizzate come app per il benessere dei bambini o per il monitoraggio degli impiegati, ma sono comunemente utilizzate da partner violenti per spiare i loro compagni ed ex-compagni. TechCrunch ha portato avanti numerose inchieste nel mercato dello spyware per rivelare il loro uso frequentemente immorale da parte di utenti o amministratori stessi di tali applicazioni. 

Nell’inchiesta più recente per TechCrunch, Whittaker scrive che una gran parte di questo spyware per dispositivi Android condivide la stessa vulnerabilità, che rende possibile “l’accesso remoto quasi sconfinato dei dati di un dispositivo”. La falla trovata da Whittaker fa parte di una classe di bug conosciuta come “insecure direct object reference” (IDOR) (“riferimenti diretti a oggetti non sicuri”, ndt), un difetto comune nelle applicazioni web la quale rivela file o dati su un server per via di controlli di sicurezza non adeguati.

Whittaker dice che i suoi sforzi per notificare gli sviluppatori delle app e Codero (la compagnia la quale ospita i server dello spyware) non hanno avuto successo, rendendo quindi importante che la consapevolezza delle vittime in merito alle potenziali fughe di dati.

“Senza aspettative che la vulnerabilità sia risolta presto, TechCrunch sta rivelando quanto possibile riguardo alle app e il loro funzionamento in modo che i proprietari di dispositivi infetti possano disinstallare lo spyware da soli, se è sicuro farlo”, scrive Whittaker. CERT/CC, il centro di divulgazione di vulnerabilità informatiche del Software Engineering Institute della Carnegie Mellon University ha pubblicato una nota a riguardo.

TechCrunch ha identificato le app compromesse, praticamente identiche in forma e funzione, come Copy9,  MxSpy, TheTruthSpy, iSpyoo, SecondClone, TheSpyApp, ExactSpy, FoneTracker e GuestSpy.

TechCrunch ha creato un articolo divulgativo su come rilevare e rimuovere tali app maligne dal vostro dispositivo se è stato compromesso. TechCrunch avverte che la rimozione dello stalkerware avvertirà probabilmente la persona la quale lo ha installato: questo potrebbe creare una situazione poco sicura, quindi vi preghiamo di assicurarvi di avere un piano per la vostra sicurezza. Visita la pagina web della Coalition Against Stalkerware per delle dritte riguardo la creazione di tale piano ed altre risorse. 

Come leader della campagna per fermare lo stalkerware, la EFF sollecita la Federal Trade Commission statunitense a lanciare un’investigazione di 1Byte e la sua rete di app stalkerware per proteggere le potenziali vittime di stalker e perpetratori di abusi domestici, come hanno fatto in casi simili. L’anno scorso la FTC cacciò l’app Android Support King e il suo CEO Scott Zuckerman dal business della sorveglianza per l’app stalkerware SpyFone. Tale inchiesta, il primo divieto totale di una compagnia di stalkerware, fu lanciata due anni dopo l’apertura della Coalition Against Stalkerware per combattere le app maligne di stalkerware da parte della EFF e la sua Direttrice della Cybersecurity Eva Galperin. In passato, l’azione più restrittiva della FTC contro uno sviluppatore di app stalkerware fu un accordo del 2019 il quale fermò Retina-X dal distribuire le sue app finché non poté verificare che fossero solamente utilizzare per “scopi legittimi”. L’installazione di spyware nascosto sul dispositivo di un’altra persona a scopo di monitorare segretamente le loro comunicazioni può violare numerose leggi negli Stati Uniti, tra cui il Computer Fraud and Abuse Act (CFAA) (“Legge contro l’abuso e la frode digitale”, ndt), statuti sull’intercettazione telefonica, nonché leggi anti-stalking.

Lo stalkerware è inerentemente uno strumento pericoloso per l’abuso tramite mezzi tecnologici. Lo stalkerware non sicuro è doppiamente pericoloso, rendendo le vittime vulnerabili a un gruppo completamente nuovo di potenziali abusatori. Le compagnie come 1Byte sono poco incentivate a creare un prodotto di stalkerware sicuro quando possono semplicemente cambiare l’aspetto delle proprie app e venderle sotto altri nomi. La ricerca come quella di Whittaker è essenziale per mantenere gli utenti al sicuro da maltrattatori e hacker opportunistici, ma dev’essere seguita da azioni da parte della FTC per avere successo.

Related Issues

Privacy
Locational Privacy

Related Updates

UN Cybercrime Treaty - Civil Society Letter
Deeplinks Blog by Karen Gullo | February 7, 2024

Draft UN Cybercrime Treaty Could Make Security Research a Crime, Leading 124 Experts to Call on UN Delegates to Fix Flawed Provisions that Weaken Everyone’s Security

Security researchers’ work discovering and reporting vulnerabilities in software, firmware, networks, and devices protects people, businesses and governments around the world from malware, theft of critical data, and other cyberattacks. The internet and the digital ecosystem are safer because of their work.The UN Cybercrime Treaty,...

Automated License Plate Readers
Press Release | January 31, 2024

Dozens of Rogue California Police Agencies Still Sharing Driver Locations with Anti-Abortion States

California Attorney General Rob Bonta should crack down on police agencies that still violate Californians’ privacy by sharing automated license plate reader information with out-of-state government agencies, putting abortion seekers and providers at particular risk, the Electronic Frontier Foundation (EFF) and the state’s American Civil Liberties Union (ACLU) affiliates urged...
Security issues banner, a colorful graphic of two barrel keys forming an X
Deeplinks Blog by Karen Gullo | January 29, 2024

In Final Talks on Proposed UN Cybercrime Treaty, EFF Calls on Delegates to Incorporate Protections Against Spying and Restrict Overcriminalization or Reject Convention

UN Member States are meeting in New York this week to conclude negotiations over the final text of the UN Cybercrime Treaty, which—despite warnings from hundreds of civil society organizations across the globe, security researchers, media rights defenders, and the world’s largest tech companies—will, in its present form, endanger...

Icons for activism, technology, and litigation with colorful, messy wires
Deeplinks Blog by Paige Collings | January 19, 2024

EFF’s 2024 In/Out List

Since EFF was formed in 1990, we’ve been working hard to protect digital rights for all. And as each year passes, we’ve come to understand the challenges and opportunities a little better, as well as what we’re not willing to accept. Accordingly, here’s what we’d like to see a lot...
Deeplinks Blog by Alexei Miagkov, Daly Barnett | January 10, 2024

Privacy Badger Puts You in Control of Widgets

The latest version of Privacy Badger replaces embedded tweets with click-to-activate placeholders. This is part of Privacy Badger's widget replacement feature, where certain potentially useful widgets are blocked and then replaced with placeholders. This protects privacy by default while letting you restore the original widget whenever you want it or...