Você está sendo seguido: stalkerware, a tecnologia da perseguição

“Essa é a história do seu desaparecimento. Você mostra a padaria. É assinado digitalmente o aluguel. Uma hora depois, uma mensagem de texto para seu marido. Sem emoji, sem emoção, como todas as outras. Menciona o aluguel de uma cabana, 30 minutos além da floresta. Seu carro, celular, iPad e todas as tecnologias invasivas monitoras de localização irão viajar até a cabana. Sua última mensagem será para sua irmã, sugerindo que está muito infeliz”. Joe Goldberg, You, 3a temporada, episódio 2.

Joe Goldberg, personagem da série da Netflix You é um assassino que usa a tecnologia para vigiar e assassinar suas vítimas. Assim como Joe, diversos personagens da ficção usam as possibilidades que a tecnologia (tanto hardware quanto software) trouxeram para perseguir ou monitorar alguém. Assusta além da ficção!

Tecnologia de perseguição, tradução literal de stalkerware, é o nome dado a ferramentas que ajudam na tarefa de vigiar algo ou alguém. Podem ser pedaços de hardware bem pequenos, menores que uma moeda, como no caso das AirTags da Apple. Podem ser também uma massiva e intrincada rede de câmeras de segurança e software de vigilância.

Stalkerware se tornou centro da controvérsia do dia a dia com um artigo sobre as AirTags assinado por Eva Galperín (Electronic Frontier Foundation) e Albert Fox Cahn (Surveillance Technology Oversight Project), dois especialistas em tecnologias de vigilância.

As AirTags são pequenos chips para monitoramento dentro de belos chaveiros, pulseiras e outros itens. A intenção anunciada pela Apple é de encontrar objetos perdidos, como uma chave. Na prática, esconder o pequeno dispositivo em carros ou bolsas e explorar suas capacidades de vigilância tornou-se uma possibilidade diária.

AirTag usada como chaveiro permite encontrar a chave através de geolocalização em tempo real – Imagem: Apple

A Apple, que faz marketing alegando que seus produtos têm privacidade por design, não colocou qualquer limite no uso das AirTags. Pior, não é necessário ter um equipamento da marca para usar o produto para vigilância e há poucas opções para se proteger dele.

As AirTags são um transmissor bluetooth, mais ou menos do tamanho de uma moeda grande, que podem – sim – serem usadas para vigiar pessoas. Com boas intenções, como monitorar os movimentos de uma criança ou idoso, ou más, como vigilância de um parceiro.

Hardware e software juntos para perseguir

Stalkerware já é um termo muito utilizado para apps que guardam o histórico de localização e outros dados do usuário. Derivados dos spywares, primeiros apps de registro de dados sem o usuário saber, os stalkerwares são ainda mais invasivos pois podem aliar registros de atividades a locais e horários e até dados biológicos (horas de sono, batimentos e até capacidade respiratória).

Assim como um malware, o stalkerware pode ser instalado no smartphone de alguém através de um link em uma mensagem, por exemplo. Após instalado, não deixa ícone na tela inicial nem no diretório de apps e pode passar desapercebido facilmente.

Defender-se de apps stalkerware é possível mas ainda não 100% efetivo. Primeiro, é preciso ter um mecanismo de bloqueio da tela do celular (senha, por exemplo), autenticação de dois fatores para contas mais importantes (e-mail), antivírus e observar as configurações de privacidade das contas (redes sociais e outros serviços).

Já chips de monitoramento como as AirTags são mais fáceis ainda de esconder no dia dia. Na forma de chaveiro, por exemplo, pode ser colocado discretamente numa bolsa ou carro do vigiado. Chips de monitoramento já existiam, mas o dispositivo da Apple se favorece da rede de mais de um bilhão de usuários só nos Estados Unidos – o que o torna extremamente preciso.

Configurar os equipamentos com privacidade mínima envolve uma série de passos que não são fáceis para o usuário comum. Para Galperín e Cahn, “a Apple dá uma ilusão ao usuário de que ele escolhe ter privacidade, mas não há nada mais que isso”.

Quando a defesa é quase impossível

Para quem usa iPhone, a Apple lançou software para alertar contra vigilância. É possível também entrar nas configurações e procurar AirTags suspeitas associadas aos equipamentos. Mas se o alvo da vigilância tem um equipamento Android, não há como se defender.

“A falha da Apple de pensar em usuários que não fazem parte do mundo iOS é imperdoável”, afirmam Cahn e Galperín. “Não basta proteger apenas usuários do iOS, as bilhões de pessoas que usam Android também deveriam ser protegidos”, completam.

Falta um aplicativo que alerte usuários sobre as AirTags para Android também. Apenas quem possui equipamentos Apple pode se proteger dos dispositivos da vigilância da empresa atualmente. E mesmo quem tem equipamentos Apple não tem a opção por padrão de proteger-se.

É importante lembrar que há outras tecnologias para monitorar ligadas a outras plataformas. O Tile, que foi comercializado nos Estados Unidos como um acessório ideal para o Samsung Galaxy, faz o mesmo papel. Mas tem um número de usuários muito pequeno em comparação ao total do mundo Android ou iOS.

A preocupação com vigilância e dados de localização já levou o congresso americano a estudar leis para proibir o abuso no uso desses dados. Operadoras de telefonia usam serviços de localização junto a planos de celular e este é outro caminho muito usado por perseguidores.

Para Cahn e Galperín, mudar esse cenário só acontecerá quando as empresas ouvirem as vítimas dos stalkers.

Vazamentos de stalkerware

Quando o aplicativo de monitoramento tem uma falha, o resultado é ainda mais devastador do que qualquer tipo de tecnologia. No dia 20 de outubro, o vazamento de dados de um stalkerware online colocou milhares de consumidores em risco. Históricos de ligações, mensagens, fotos, navegação e até localização podiam ser acessados por qualquer pessoa online.

Como os fabricantes de stalkerware fazem força para passar desapercebidos, não foi possível nem divulgar a empresa autora da erro. Divulgar e consertar publicamente o vazamento poderia atrair ainda mais criminosos que lucram com stalkerware. Restou ao site de tecnologia que descobriu o vazamento por acaso, Techcrunch, tentar entrar em contato com o fabricante e ser solenemente ignorado.

É desapontador mas não surpreendente que as empresas tenham um comportamento negligente com relação aos stalkerwares, diz Galperín. Feitos para não serem facilmente detectáveis ou excluídos, a remoção ou limitação de um app pode alertar ao perseguidor o conhecimento do perseguido sobre a vigilância. Isto poderia ser um gatilho para uma perseguição ainda mais invasiva.

Luz no fim do túnel

Nem tudo é sem solução quando se fala de stalkerware. Empresas de tecnologia, como fabricantes de antivírus e outros, procuram melhorar a habilidade de detecção destas ferramentas. Há também o grupo Coalizão Contra o Stalkerware, para reduzir o alcance e regulamentar estas ferramentas.

O Google já baniu fabricantes de stalkerware de promover seus produtos para espiar um cônjuge ou parceiro, por exemplo. Ainda assim, táticas desonestas dos fabricantes conseguem contornar as restrições das lojas de apps.

Agências de regulamentação começam a observar os fabricantes dessa categoria de aplicativos. Em setembro, a FTC (Federal Trade Commission) baniu nos EUA o SpyFone, um aplicativo que expôs os dados de mais 2 mil pessoas e foi obrigado a notificar seus consumidores que seus celulares haviam sido hackeados.

No Brasil, legislação como o Marco Civil da Internet e a LGPD (Lei Geral da Proteção de Dados) podem ser utilizados para defender-se de stalkerware em casos que cheguem até a justiça.

A Coalizão Contra o Stalkerware, da Electronic Frontier Foundation, tem recursos para quem acredita que seu celular pode estar comprometido. Há ainda um vídeo explicativo, ainda em inglês. Confira em Stopstalkerware.org.

Privacidade por design

No último dia 21, Dia Global da Criptografia, o ex-agente da NSA (Agência de Segurança Nacional dos EUA), Edward Snowden, reforçou a importância da proteção de dados em um debate. A criptografia envolve técnicas para proteger dados codificando-os de modo seguro para transmissão.

No passado, Snowden revelou informações secretas de segurança do governo dos Estados Unidos. Esse material provou esquemas de vigilância digital com uso de servidores de empresas como Google, Apple e Facebook. O TecMasters conversou com Edward Snowden para entender os desdobramentos dos avanços da tecnologia e do compartilhamento de dados na sociedade.

“Precisamos de ferramentas invioláveis e a criptografia deve ser a base para toda tecnologia desenvolvida, justamente para que quando governos mudem não coloquem nossa privacidade em risco”, explicou Snowden ao TecMasters.

“Isso não deveria ser nem uma questão a ser discutida. […] O ideal seria o desenvolvimento de soluções padrões e globais que foquem a comunicação segura e altamente criptografada, e, então, possam ser embarcadas em produtos e serviços que todo mundo usa”, completou.