Na expansão de apps do Facebook, o WhatsApp é talvez o único que prega a preservação da privacidade do usuário e segue à risca esse conceito. Mas isso não impediu que cibercriminosos encontrassem novas maneiras de bisbilhotar e espionar sem que a plataforma — ou qualquer usuário — descubra.

Como mostra uma nova investigação do Business Insider, alguns apps que prometem espionar usuários para revelar informações às vezes confidenciais sugiram nos ecossistemas da Apple e Android. E, embora isso possa não ser bom para um trio de empresas que passaram o ano passado tentando cumprir suas promessa de proteger a privacidade de seus usuários, nenhuma delas parece muito motivada para extinguir essas novas formas de stalkerware.

Vale a pena esclarecer aqui que esses aplicativos não são mágicos. O WhatsApp passou os últimos seis anos defendendo firmemente a criptografia de ponta a ponta como o padrão para todas as mensagens enviadas por seus canais. E, exceto por deslizes, essa criptografia faz seu trabalho, o que significa que nenhum terceiro vai decifrar as mensagens ou imagens enviadas e recebidas pela plataforma, a menos que eles possam realmente colocar as mãos em seu dispositivo físico e enchê-lo de malwares.

Em vez disso, esses serviços de stalkerware parecem depender de informações do usuário que o WhatsApp realmente permite ser acessada: um widget inócuo que notifica os usuários quando alguém está no app ou fora dele. É uma informação boba que normalmente é usada para saber, digamos, se alguém da sua família está fora do país para uma chamada. Mas dados, mesmo pequenos como este, nunca existem no vácuo, que é o motivo porque algo tão simples possa ser usado para rastrear algo como quando sua ex-namorada está dormindo.

A maneira como esse tipo de stalkerware opera é bem simples. Uma pessoa simplesmente baixa um desses aplicativos e insere o número de telefone da outra pessoa que deseja rastrear e, em seguida, esse telefone é monitorado 24 horas por dia para detectar quaisquer sinais online ou offline.

Ao longo dos próximos dias, semanas ou meses, isso constrói uma imagem muito boa do cotidiano do alvo — quando ele está acordando, quando está dormindo e quando é mais provável que esteja aplicativo. Alguns dos aplicativos que o Business Insider descobriu se gabavam da capacidade de rastrear se dois contatos provavelmente conversariam um com o outro a qualquer momento, com base na frequência que estão online simultaneamente. Naturalmente, tudo isso acontece sem o consentimento desse alvo.

A eficácia desses aplicativos é questionável, visto que este único “pedaço” de informação do WhatsApp é binário: ou o app está aberto ou não, não há estado “ocioso”. Pessoas que optam por deixar o WhatsApp aberto enquanto não estão ativamente enviando mensagens de texto ou ligando estão, de certa forma, frustrando esse stalkerware, transmitindo dados funcionalmente incorretos. Ainda assim, o fato de que alguém iria querer espionar estranhos dessa maneira e que uma rede de facilitadores dispostos a construir as ferramentas para permitir que eles, independentemente da validade de suas descobertas é — para usar o termo técnico — grosseiro.

Alguns desses aplicativos conseguem funcionar sob pretexto de serem ferramentas úteis para monitorar se seus filhos estão fazendo algo que não deveriam, enquanto outros são mais francos sobre o quão invasivos são. Uma das páginas deste tipo de programa encontradas pelo Gizmodo se apresenta como uma forma de os pais receberem notificações sobre o paradeiro de seus filhos “mesmo que eles bloqueiem você”, enquanto em outro lugar é descrito que você pode fazer o mesmo com “amigos, amante ou esposa”. Outro app encontrado à época era ainda mais explícito sobre as possibilidades de espionagem:

Algo está acontecendo. Talvez seu cônjuge continue enviando mensagens de texto tarde da noite debaixo das cobertas ou fazendo viagens suspeitas ao banheiro a qualquer hora com o telefone na mão. Talvez um de seus funcionários esteja agindo de forma estranha toda vez que você o pega enviando uma mensagem no WhatsApp durante o horário de trabalho e quer saber o que é que ele está enviando. Ou talvez seja até mesmo o seu filho adolescente, que tem se recusado a dizer para quem eles estão enviando mensagens na calada da noite e por que estão saindo tão tarde depois da escola. De qualquer forma, algo não está certo e você sabe disso.

Os representantes do WhatsApp disseram ao Business Insider que os termos da plataforma proíbem esse tipo de adulteração por completo, e que a empresa “[solicita] que as lojas de aplicativos removam os aplicativos que abusam de nossa marca” e violam esses termos no processo. Eles também confirmaram que desabilitar a notificação “online” para um determinado usuário é funcionalmente impossível, o que significa que eles estão oferecendo pouca proteção além desse tipo de violação proibida de pedir educadamente à Apple e ao Google para cancelá-la.

Enquanto isso, ambas lojas de aplicativos ficam caçando estes programas, enquanto vão surgindo cada dia mais opções. Até agora, parece que estão fazendo um trabalho ruim: embora o Google leve muito a sério suas políticas de proibição de anúncios ou promoções de spyware, essas políticas são, na melhor das hipóteses, fracas, com a atualização mais recente permitindo explicitamente esse tipo de tecnologia, se for comercializado para os pais, ao invés de ex-namorados ciumentos. As políticas da Apple atingem ameaças de malware, mas não de spyware, o que significa que esses apps estão livres para proliferar nesse ecossistema.

Em outras palavras, parece que todas essas empresas consideram essa invasão grosseira de privacidade como algo totalmente apropriado, ou simplesmente acham que é um problema para elas resolverem. Entramos em contato com o WhatsApp, Apple e Google para comentar e atualizaremos se obtivermos uma resposta.