O namorado de Jennifer disse que ela não estava autorizada a instalar usar senha em seu celular.
"Disse que, se eu confiava nele, isso não era necessário", ela afirmou. E a exigência não significava apenas que ele podia olhar as mensagens dela caso o aparelho estivesse por perto.

"Ele podia ver tudo que eu estava fazendo, não importa onde estivesse. Quando desmanchamos, ele começou a me perseguir. Senti-me muito violada, ao descobrir", ela diz.

Jennifer –um pseudônimo– é uma das muitas vítimas de "stalkers" [perseguidores] ajudadas pela Operação Safe Escape, uma organização de segurança americana que trabalha com vítimas de violência doméstica para identificar e remover poderosos softwares de rastreamento instalados secretamente em seus celulares. De acordo com a organização, esse tipo de violação não é incomum.

Apps usados para "stalking" e vigilância clandestina são produtos que caminham sobre uma linha tênue, em termos de privacidade de dados, e estão ocultos em milhares de celulares, embora não estejam disponíveis nas principais lojas de apps.

Softwares como mSpy, TheTruthSpy e FlexiSpy permitem que usuários monitorem as atividades alheias no telefone, entre as quais listas de chamadas, conteúdo de mensagens de texto e chats, dados de localização e fotos. Frequentemente descritos como produtos de "controle paterno" ou "monitoração de empregados", muitos desses apps se divulgam como um recurso para apanhar parceiros infiéis –e apontam para o fato de que podem ser instalados de modo invisível no telefone do alvo.

A instalação em geral requer acesso físico ao aparelho; a pessoa que faz a instalação pode depois ocultar o ícone do app na tela e acessar o conteúdo do celular remotamente, por meio de um painel de controle online que monitora suas atividades.

Ainda que esses apps sejam discretos quanto ao seu número de usuários e receita, a Kaspersky Labs, uma companhia de segurança na computação, disse que cada vez mais pessoas vêm sendo atacadas por apps de vigilância clandestina.

No ano passado, a companhia identificou e removeu 58 mil infecções por apps desse tipo, com varreduras de seu app antivírus, que busca apps nocivos. Até julho de 2019, o produto específico que ela lançou em abril para combater apps de "stalking" havia detectado apps nocivos em telefones pertencentes a mais de sete mil usuários em todo o planeta.

O chamado "stalkerware" pode "ser muito mais severo que outras formas de malware... porque é feito para abuso da privacidade alheia, e seus usuários são em muitos casos praticantes de abusos domésticos", disse o pesquisador de segurança Alexey Firsh.

A Certo, uma empresa de produtos de combate ao "spyware", também disse que "a demanda certamente cresceu nos últimos anos".
 

"Vigilância ilícita"

A disponibilidade a preço baixo de apps de vigilância pessoal pode ter efeitos devastadores. Em 2014, uma pesquisa conduzida pela National Public Radio dos Estados Unidos em 72 abrigos para vítimas de violência doméstica no país constatou que 85% deles tinham atendido a vítimas cujos abusadores as haviam rastreado por meio do GPS. No mesmo, a Rede Nacional pelo Fim da Violência Doméstica constatou que 54% dos abusadores haviam rastreado os celulares de suas vítimas usando "stalkerware".

No no passado, em meio a preocupações crescentes, o senador americano Richard Blumenthal buscou informações de nove produtores de apps que oferecem software de rastreamento, entre os quais mSpy e FlexiSpy, sobre que garantias eles ofereciam de que seus produtos não viessem a ser usados "para propósitos ilegais", como "stalking" ou "vigilância ilícita".

A maioria das lojas oficiais de aplicativos proíbe a distribuição de "spyware". Em abril, a Apple retirou diversos apps de controle paterno de sua loja afirmando que eram excessivamente invasivos, e o Google retirou quatro apps de "stalkerware" de sua loja esta semana, depois que foram identificados por pesquisadores do grupo antivírus Avast.

No entanto, apps como o mSpy podem ser baixados diretamente para celulares Android, de suas páginas de internet. Os usuários do iPhone só podem fazê-lo se tiverem celulares "jailbroken" [desbloqueados], um procedimento que remove certos mecanismos de segurança impostos pela Apple. Muitos apps de "spyware" anunciam downloads diretos para iPhones "jailbroken".

Alguns apps também oferecem um caminho alternativo para instalação em iPhones, que requer acesso aos dados de uso do usuário alvo no sistema iCloud. Isso possibilita a monitoração remota de todos os dados subidos para a conta iCloud, ainda que não permita escutas de ligações ou o uso do microfone do celular como escuta para áreas ao redor.

O método não requer que o usuário obtenha acesso físico ao aparelho, a menos que um sistema de autenticação de duplo fator –que solicita que titulares de contas do iCloud aprovem login em novos aparelhos– esteja em uso.

Ao explicar essa restrição, um representante do app de monitoração Mobistealth ofereceu um link para uma página que explica como desabilitar a autenticação de duplo fator.

Porque a Apple não tem como determinar se uma pessoa dotada de credenciais corretas é o titular da conta ou um agente nocivo, há pouco que a companhia possa fazer.

Um porta-voz da mSpy disse que a tecnologia da companhia não era "spyware", mas sim "um software de controle paterno" desenvolvido especificamente para essa função. Os pais podem ocultar o ícone do app depois de instalá-lo, para impedir que filhos o desinstalem, ele acrescentou. Embora seu app possa ser "usado indevidamente", a mSpy disse que não tinha como determinar se isso estava acontecendo, "porque os dados dos usuários são cifrados".
 

"Diferente de qualquer coisa na história recente"

Em junho, pesquisadores da Universidade de Toronto concluíram, em um estudo de apps de "stalkerware", que alguns produtos haviam sido "projetados aberta e especificamente para contornar os controles e escolhas de privacidade [da vítima]". Eles também apontaram que os apps violavam o Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês), a nova norma de privacidade da União Europeia.

O software "não atende a nenhuma das condições do GDPR", quanto à coleta e uso de dados pessoais, dizem os pesquisadores. Já que as vítimas de "stalking" e vigilância podem não saber que um app está instalado em seu celular, elas estariam inaptas a fazer escolhas sobre a coleta e processamento de dados sensíveis a seu respeito– uma parte chave do GPR–, afirmaram os pesquisadores.

O app FlexiSpy, citado no relatório, anuncia serviços como "espionagem de mensagens de texto", e "até de mensagens apagadas", e afirma que seu software "indetectável" pode ajudar apanhar cônjuges infiéis. A Highster Mobile e a Mobistealth também divulgam seus produtos como forma de apanhar parceiros infiéis em flagrante, e a Hoverwatch enfatiza que seu "modo stealth" é útil quando "você quer tomar o controle da situação diretamente".

O TruthSpy chega a descrever seu software como alternativa a "hackear" o "celular de uma vítima".

Nenhum produtor de app quis comentar. Mas suas regras de uso –algumas dos quais os descrevem como enquadrados ao GDPR– dispõem em geral que os usuários precisam obter consentimento do dono do celular alvo antes de instalar o software.

"Você é exclusivamente responsável por como usa o software & pelo cumprimento das leis relevantes", afirma a Flexispy em suas regras de uso. "Se você instala ou tenta instalar nosso software em um celular que não é seu ou para o qual não tenha consentimento, cooperaremos plenamente com as autoridades", diz a Highster Mobile.

Isso representa "uma tentativa de abandonar sua responsabilidade legal", disse Cynthia Khoo, pesquisadora do Citizen Lab e uma das autoras do relatório. "Não vimos provas de que essas empresas tenham tomado quaisquer medidas proativas para prevenir abusos ou violência", ela disse.

Em caso de uma violação de segurança de dados, os apps de "stalkerware" seriam obrigados a notificar seus clientes. Mas não seriam essas as pessoas cujos dados necessariamente estariam em risco. Isso representa "uma séria falha", de acordo com Christoper Parsons, o diretor de pesquisa do relatório.

Diversos outros apps de monitoração, como o Family Orbit e o Retina X, já foram alvo de "hackers éticos" que invadiram seus sistemas e obtiveram dados delicados a fim de demonstrar pontos fraco de segurança.

Afirmar que estão cumprindo o GDPR com base em consentimento, mas transferir a responsabilidade pela obtenção do consentimento e alardear explicitamente sistemas para contornar monitoração, parecem ser "posturas contrárias" e "completamente opostas", disse Paula Barrett, sócia e gerente de segurança cibernética e privacidade de dados no escritório de advocacia Eversheds Sutherland.

O Conselho Europeu de Proteção de Dados disse nenhum caso sobre "stalkerware" chegou a ele até, e não sabe se existe algum em curso nas autoridades nacionais.

O Comissário de Privacidade do Canadá, que financiou parcialmente o relatório de Toronto, disse que estava estudando as conclusões. Parte das recomendações ecoavam "preocupações e recomendações que estamos propondo há algum tempo".

Quando perguntado por que o mSpy não estava disponível na loja Google Play, um representante do app disse que "a loja não gosta do que fazemos aqui". Perguntado sobre o motivo, ele disse que "isso não importa", e enviou um link de um vídeo que mostra como baixar o software em celulares Android.

Esses apps representam "uma democratização da vigilância diferente de qualquer coisa que eu tinha visto na história recente", disse Parsons. "Eles são incrivelmente íntimos e invasivos".