Stalkerware e vazamento de dados


Em 2023, o coletivo DDOSecrets compartilhou dados vazados de três empresas que operam softwares conhecidos como stalkerware. São elas:

  • LetMeSpy, com dados disponibilizados em 28 de junho – a empresa fechou após o vazamento;
  • SpyHide, disponibilizado em 10 de agosto;
  • WebDetetive, com dados disponibilizados em 30 de agosto.

Esse tipo de software, também conhecido como “software espião”, tem seu funcionamento dividido em duas etapas. A primeira, de coleta de dados, usa um aplicativo para celular que após ser instalado oculta o próprio ícone para impedir que o usuário saiba que ele está no seu aparelho. E a segunda, de análise, conta com uma interface na qual é possível acessar dados e metadados do aparelho cujo o aplicativo foi instalado.

O Instituto Aaron Swartz requisitou acesso aos dados do vazamento do WebDetetive, uma empresa brasileira que opera um software espião que possui as seguintes funcionalidades:

  • Leitura de conversas do Whatsapp;
  • Leitura de conversas no Telegram;
  • Leitura de conversas no Signal;
  • Gravação de chamadas de voz;
  • Informações de localização;
  • Histórico de navegação;
  • Registro de todas as teclas pressionadas no teclado virtual do celular;
  • Acesso a áudio e câmeras do celular em tempo real;
  • Acesso a todas as fotos do celular.

Vale destacar que esses programas conseguem até mesmo acessar dados de aplicativos de mensageria seguros (como Whatsapp e Signal) uma vez que acessam os dados no próprio aparelho celular e os mensageiros só conseguem garantir a segurança “de ponta-a-ponta”, ou seja, durante o tráfego na internet.

Esse tipo de “software espião” geralmente é usado por dois grupos distintos: pais preocupados e parceiros inseguros.

É compreensível que pais queiram garantir que seus filhos usem celulares e a internet de forma positiva, mas ao instalar esse tipo de aplicativo, ao invés de protegê-los, os expõe ainda a mais riscos porque esses aplicativos colocam os dados gerados nos aparelhos em posse de terceiros.

No caso do uso para vigiar o parceiro ou cônjuge, além de colocá-los igualmente em risco, viola seus direitos de privacidade.

Para ilustrar os riscos, o Instituto Aaron Swartz analisou os dados do vazamento da WebDetetive. Foi visto que aproximadamente 76 mil celulares tiveram o aplicativo instalado em algum momento e o grupo hacker responsável pelo ataque acessou o painel de controle e os dados de todos esses telefones.

Segundo os hackers, ao obter acesso ao painel de controle eles deletaram dados e removeram a conexão entre o sistema central da WebDetetive e os aparelhos celulares.

A ilusão de controle fornecida pela instalação de um stalkerware, além da fragilização da segurança do celular pode trazer consequências imprevisíveis para a vítima, já que, essencialmente, coloca a privacidade dela sob controle da empresa operadora do software expondo-a a risco de uso indevido de seus dados, risco de fraude bancária e até risco a vida.