Em 2023, o coletivo DDOSecrets compartilhou dados vazados de três empresas que operam softwares conhecidos como stalkerware. São elas:
- LetMeSpy, com dados disponibilizados em 28 de junho – a empresa fechou após o vazamento;
- SpyHide, disponibilizado em 10 de agosto;
- WebDetetive, com dados disponibilizados em 30 de agosto.
Esse tipo de software, também conhecido como “software espião”, tem seu funcionamento dividido em duas etapas. A primeira, de coleta de dados, usa um aplicativo para celular que após ser instalado oculta o próprio ícone para impedir que o usuário saiba que ele está no seu aparelho. E a segunda, de análise, conta com uma interface na qual é possível acessar dados e metadados do aparelho cujo o aplicativo foi instalado.
O Instituto Aaron Swartz requisitou acesso aos dados do vazamento do WebDetetive, uma empresa brasileira que opera um software espião que possui as seguintes funcionalidades:
- Leitura de conversas do Whatsapp;
- Leitura de conversas no Telegram;
- Leitura de conversas no Signal;
- Gravação de chamadas de voz;
- Informações de localização;
- Histórico de navegação;
- Registro de todas as teclas pressionadas no teclado virtual do celular;
- Acesso a áudio e câmeras do celular em tempo real;
- Acesso a todas as fotos do celular.
Vale destacar que esses programas conseguem até mesmo acessar dados de aplicativos de mensageria seguros (como Whatsapp e Signal) uma vez que acessam os dados no próprio aparelho celular e os mensageiros só conseguem garantir a segurança “de ponta-a-ponta”, ou seja, durante o tráfego na internet.
Esse tipo de “software espião” geralmente é usado por dois grupos distintos: pais preocupados e parceiros inseguros.
É compreensível que pais queiram garantir que seus filhos usem celulares e a internet de forma positiva, mas ao instalar esse tipo de aplicativo, ao invés de protegê-los, os expõe ainda a mais riscos porque esses aplicativos colocam os dados gerados nos aparelhos em posse de terceiros.
No caso do uso para vigiar o parceiro ou cônjuge, além de colocá-los igualmente em risco, viola seus direitos de privacidade.
Para ilustrar os riscos, o Instituto Aaron Swartz analisou os dados do vazamento da WebDetetive. Foi visto que aproximadamente 76 mil celulares tiveram o aplicativo instalado em algum momento e o grupo hacker responsável pelo ataque acessou o painel de controle e os dados de todos esses telefones.
Segundo os hackers, ao obter acesso ao painel de controle eles deletaram dados e removeram a conexão entre o sistema central da WebDetetive e os aparelhos celulares.
A ilusão de controle fornecida pela instalação de um stalkerware, além da fragilização da segurança do celular pode trazer consequências imprevisíveis para a vítima, já que, essencialmente, coloca a privacidade dela sob controle da empresa operadora do software expondo-a a risco de uso indevido de seus dados, risco de fraude bancária e até risco a vida.