Mercredi, la Federal Trade Commission des États-Unis a interdit à une société d’applications de stalkerware appelée SpyFone de l’activité de surveillance, craignant qu’elle ne collecte et partage furtivement des données sur les mouvements physiques des personnes, l’utilisation du téléphone et les activités en ligne qui ont ensuite été utilisées par les harceleurs et les agresseurs domestiques pour surveiller le potentiel cibles.
« SpyFone est une marque effrontée pour une entreprise de surveillance qui a aidé les harceleurs à voler des informations privées », mentionné Samuel Levine, directeur par intérim du Bureau de la protection des consommateurs de la FTC, dans un communiqué. « Le stalkerware a été caché aux propriétaires d’appareils, mais a été entièrement exposé aux pirates informatiques qui ont exploité la sécurité paresseuse de l’entreprise. Cette affaire est un rappel important que les entreprises basées sur la surveillance constituent une menace importante pour notre sûreté et notre sécurité. »
Appelant les développeurs d’applications pour son manque de pratiques de sécurité de base, l’agence a également ordonné à SpyFone de supprimer les informations collectées illégalement et d’informer les propriétaires d’appareils que l’application avait été secrètement installée sur leurs téléphones.
Le site Web de SpyFone présente la société comme la « première application de téléphone espion au monde » et revendique cinq millions d’installations. Comme d’autres services de stalkerware, SpyFone a permis aux acheteurs de suivre subrepticement des photos, des messages texte, des e-mails, des historiques de navigation sur Internet, des emplacements GPS en temps réel et d’autres informations personnelles stockées dans les appareils, avec les applications équipées de fonctionnalités qui permettent de supprimer le l’icône de l’application d’apparaître sur l’écran d’accueil de l’appareil mobile afin de masquer le fait que la victime est surveillée.
En plus de cela, la société n’aurait pas mis en place de protections adéquates pour sécuriser les données accumulées, laissant ainsi les informations personnelles qu’elle stockait non cryptées, en plus d’exposer les données sur Internet sans aucune authentification et de transmettre les mots de passe des acheteurs en clair. Notamment, l’entreprise a subi une violation de données en août 2018 après qu’un chercheur ait accédé au compartiment Amazon S3 mal protégé de l’entreprise et obtenu les données personnelles d’environ 2 200 consommateurs.
Le développement intervient près de deux ans après la FTC barré Retina-X et ses développeurs de vendre des applications de stalkerware qui ont été illégitimement utilisées pour espionner les employés et les enfants et installées sur les appareils des victimes à leur insu ou sans leur autorisation en contournant les restrictions du fabricant de smartphones, exposant ainsi les appareils à des vulnérabilités de sécurité et probablement invalidé les garanties du fabricant .
