Da Wired.it :
Nonostante l’acquisizione di Facebook e una nuova attenzione per la privacy, l’app di messaggistica continua a mostrare a chiunque abbia il tuo numero se sei online. Ed è una falla sfruttata da applicazioni malevole note come “stalkerware”
Al mondo sono oltre due miliardi le persone che utilizzano WhatsApp. Sparsi in 180 paesi, divisi da fusi orari, usi e costumi, c’è una cosa che sicuramente unisce questa massa impressionante di utenti: chiunque sia in possesso del loro numero può sapere quando sono online sull’applicazione di messaggistica più famosa del mondo.
Nonostante WhatsApp permetta agli utenti di modificare le impostazioni del proprio profilo in modo da rendere pubblici o privati alcuni dettagli, come l’immagine del profilo, lo stato, l’orario dell’ultimo accesso o le conferme di lettura (le famose spunte blu), non c’è infatti alcun modo di nascondere quando si è online o si sta scrivendo un messaggio.
L’azienda, che dal 2014 appartiene al gruppo Facebook Inc., ne è pienamente consapevole. Una pagina dedicata alle domande frequenti relative alla privacy conferma che, semplicemente, è una cosa che gli utenti non possono fare. Il tutto si potrebbe accantonare con una delle battute più ricorrenti del mondo della programmazione – non è un bug, è una feature! – se non fosse per un piccolo problema: gli stalker.
Come sottolinea in un recente report il team di Traced, un’applicazione specializzata nella sicurezza e nella tutela della privacy nel settore degli smartphone, infatti, questa lacuna di WhatsApp ha portato alla nascita di moltissime applicazioni che offrono la possibilità di tenere traccia di quando uno specifico utente è online – e, in certi casi, anche di incrociare i dati di due diversi numeri, per controllare se potenzialmente gli orari di connessione coincidano.
Il paradiso dei cyberstalker
“I cyberstalker in genere amano raccogliere quante più informazioni possibili sul loro obiettivo”, spiega Traced. “Vogliono sapere dove si trovano in un dato momento; chi stanno incontrando; con chi stanno parlando; cosa dicono i loro testi; a chi stanno inviando messaggi di posta elettronica; quello che stanno cercando online. La conoscenza è potere e avere questo livello di potere su qualcuno è inebriante, pericoloso e profondamente immorale”. In Italia c’è chi ne sa qualcosa, dato che secondo Karspersky il nostro è il secondo paese in Europa (e l’ottavo al mondo) per numero di stalkerware installati sui dispositivi.
Solitamente, si tende a pensare allo stalkerware come a software installato su determinati dispositivi all’insaputa del proprietario, come metodo per controllarne messaggi, telefonate, posizione GPS e attività sui social network. Le applicazioni scovate da Traced agiscono in una zona più grigia: si limitano a raschiare dati che sono facilmente accessibili a chiunque abbia il numero di cellulare di uno specifico utente di WhatsApp, non richiedono l’accesso al dispositivo dell’utente e, quando esistono come app su Google Play o l’App Store di Apple, aggirano sapientemente le loro politiche riguardanti lo stalkerware.
Secondo Traced, che ha scandagliato i due servizi alla ricerca di app basate sullo status su WhatsApp, Apple starebbe facendo un lavoro piuttosto buono nel rimuovere questo genere di applicazione. Google un po’ meno. Aggiornata nel 2020, la politica di Google rispetto allo stalkerware lascia infatti a sua volta aperta una scappatoia. La compagnia di Mountain View ritiene infatti accettabili “applicazioni che possono essere utilizzate dai genitori per controllare i propri figli”. Le applicazioni, continuano “non possono essere utilizzate per controllare una persona (come ad esempio un coniuge) senza la loro conoscenza o il loro permesso, a meno che non venga costantemente mostrata una notifica durante la trasmissione dei dati”. Si potrebbe aprire un intero capitolo a parte sul fatto che i figli, a quanto pare, non contano come persone, ma il succo della questione è che qualsiasi applicazione affermi su Google Play di essere rivolta a genitori che vogliono controllare l’attività dei propri figli ha attualmente diritto di esistere nello store.
Un ulteriore problema, naturalmente, è che chiunque disegni e metta in commercio queste app spesso non si fa scrupoli a farsi pubblicità online, lontano dallo sguardo delle politiche di Google Play, con slogan come “Se sospetti che il tuo coniuge o la tua ti tradisca, ad esempio, il nostro WhatsApp tracker può aiutarti a confermare se i tuoi sospetti sono fondati!”, “Ti aiuteremo a tenere traccia dello status online di amici, familiari e dipendenti su WhatsApp!”, o “Controlla amici, amanti, moglie e figli!”.
L’esperienza di un’utente di Reddit citata dal report di Traced aiuta a capire l’entità del pericolo. “Ero affascinata dal modo in cui funzionava questa app e da quante informazioni sono stata in grado di ottenere sulla psicologia del mio partner da dati così semplici, quindi ho continuato a osservare la sua attività nella settimana successiva”, racconta @lollygagme. “Poiché ho iniziato a utilizzare questa app per la prima volta quando su WhatsApp parlava solo con me, ora conosco gli schemi di comportamento di quando sta effettivamente avendo una conversazione approfondita con qualcuno, con lui che controlla più e più volte per vedere se l’altra persona ha risposto. È incredibile quello che puoi scoprire sulle persone e sul loro stato mentale in base a dati così semplici”.
“Quello che accade quando non si tengono a mente le relazioni basate su abusi”
Sono anni che online ci si domanda come fare a rendere invisibile il fatto di essere online su WhatsApp, ma la compagnia non ha finora ritenuto che fosse il caso di dare agli utenti la possibilità di scelta in materia. Interrogato da Lorenzo Franceschi-Bicchierai di Motherboard in seguito al report di Traced, un portavoce di WhatsApp ha spiegato che, secondo i riscontri ottenuti dall’azienda, “sapere quando qualcuno dei propri contatti è online fornisce un senso di vicinanza ad amici e familiari”. Ci ha inoltre tenuto a sottolineare che l’operato di queste applicazioni è in violazione dei termini di utilizzo di WhatsApp.
Secondo Eva Galperin, direttrice della cybersicurezza per l’Electronic Frontier Foundation, però, non basta. “Questo è il classico esempio di ciò che accade quando le aziende non tengono a mente le relazioni abusive quando prendono decisioni relative alla programmazione”, ha affermato. “WhatsApp avrebbe dovuto dare agli utenti il potere di disattivare il loro stato online sin dall’inizio. Devono risolvere il problema il prima possibile”.
In attesa di un’eventuale ripensamento da parte di Facebook Inc. – che potrebbe, chissà, decidere che la sicurezza psicofisica dei propri utenti dovrebbe avere la precedenza rispetto al vago senso di comunità che nascerebbe dal vedere che i nostri amici sono online – Traced raccomanda due soluzioni per chi teme di essere vittima di questo genere di stalking. La prima è di cambiare app di messaggistica favorita, spostandosi magari verso soluzioni che, come Signal, danno una maggiore importanza alla privacy dei propri utenti. La seconda, più drastica, è di cambiare numero di cellulare. Una mossa fastidiosa che, ammettono anche loro, potrebbe però comunicare agli abusatori che si sa di essere osservati.
Potrebbe interessarti anche