Przede wszystkim chodzi o zaufanie. O to, by w zdrowej relacji rozmawiać o problemach, sztucznie ich nie kreować i przede wszystkim nie traktować partnera jako swojej własności. Niestety, nie wszystkie związki tak wyglądają.
Było zbyt pięknie
Bożena i Krzysztof są razem od trzech lat. On jest uważnym partnerem. Pamięta, jaką kawę lubi Bożena, a jeśli kupuje prezent, to jest on zawsze trafiony. Wie, kiedy zadzwonić, żeby zapytać, jak poszedł jej trudny dzień w pracy. Bożena z dumą mówi koleżankom, że Krzysztof zna ją lepiej niż ona sama, chociaż czasem zastanawia się nawet, czy on nie czyta jej w myślach. Nie widzi w tym nic złego. Cieszy się, że w końcu spotkała w swoim życiu wspaniałego mężczyznę, z którym chce się zestarzeć. Tyle złych historii już słyszała…
Aż do pewnego piątku, gdy Bożena wraca do domu późnym wieczorem. Była na piwie z Karolem, kolegą z pracy. Kolacja firmowa się przeciągnęła. Krzysztof siedzi w kuchni i mówi spokojnie: „Karol napisał ci dwa dni temu w sprawie tego piątku. Dlaczego mi nie powiedziałaś?”. Bożena, lekko zdziwiona, otwiera telefon. Wiadomość od Karola jest, ale oznaczona jako nieprzeczytana. Bo Bożena jej jeszcze nie otwierała.
Ona w tym momencie jeszcze nie wie, że spokój jest tylko pozorny. Że ta relacja właśnie się skończyła i że za chwilę czeka ją poważna kłótnia na temat zaufania i prywatności. Na razie w jej głowie kołacze się pytanie: skąd Krzysztof wiedział o tym wcześniej od niej?
Igła w stogu aplikacyjnego siana
Odpowiedź na pytanie Bożeny jest prosta. Krzysztof ma od tego na jej telefonie odpowiednią aplikację. To, co zainstalował (bez jej zgody i świadomości), kosztuje trzydzieści dolarów miesięcznie. Plan – nomen omen – rodzinny dla trzech urządzeń kosztuje tyle, co dwie wizyty u fryzjera. To kategoria oprogramowania z rodziny stalkerware i pozbawia drugą osobę prywatności.
I żeby było jasne: Bożena jest postacią złożoną z kilkunastu prawdziwych historii, które trafiły do raportów organizacji pomagających ofiarom przemocy domowej. Krzysztof jest tysiącem mężczyzn i kobiet z całego świata, których nazwiska wyciekły tej zimy. Do ich historii jeszcze wrócimy. Teraz czas odpowiedzieć sobie na nurtujące pytania: czym jest oprogramowanie stalkerware, w jaki sposób taki „Krzysztof” zainstalował coś takiego w cudzym urządzeniu i jak zmniejszyć ryzyko bycia podsłuchiwanym.
Pegasus? Nie jest do tego potrzebny
Stalkerware to produkt konsumencki. Sprzedawany przez stronę internetową, którą każdy może otworzyć w przeglądarce. Płaci się za niego kartą kredytową, a subskrypcja działa jak Netflix, z comiesięcznymi płatnościami i automatycznym odnowieniem. Nazwy, które pojawiają się w raportach Coalition Against Stalkerware (międzynarodowej inicjatywy zajmującej się m.in. walką z oprogramowaniem szpiegującym), brzmią marketingowo: mSpy, FlexiSpy, Cocospy, Hoverwatch, Xnspy, uMobix.
Cena? Od kilkunastu do kilkudziesięciu dolarów miesięcznie, w zależności od planu. Naprawdę nie musisz zarabiać kroci, by sobie na to pozwolić, ani pracować w służbach specjalnych i włamywać się na telefony polityków czy dziennikarzy. Tu działasz za śmieszne pieniądze i początkowo bazujesz na pełnym zaufaniu drugiej osoby, bo zainstalowanie oprogramowania szpiegującego zajmuje kilka minut i wymaga dostępu do urządzenia, o które w związku nie jest trudno.
Co ważne, aplikacja nie daje wyłącznie dostępu do SMS-ów ofiary. Umożliwia szereg zachowań kontrolujących – od sprawdzania aktywności w mediach społecznościowych po wiedzę o lokalizacji, wgląd w zdjęcia i znajomość zapisanych haseł. Jednym słowem daje nadzór nad dorosłą osobą bez jej zgody.
„Kochanie, sprawdź na moim telefonie”
Skąd Krzysztof wiedział o wiadomości od Karola, zanim jeszcze Bożena ją otworzyła? Po prostu wyświetliła mu się na panelu strony webowej służącej do obsługi tego oprogramowania już chwilę po tym, jak telefon Bożeny odebrał powiadomienie. U niej ta aktywność pozostawała bez śladu. Wiadomość wciąż była oznaczona jako nieodczytana.
Stalkerware jest produktem działającym w prosty sposób. Krzysztof najpierw zapłacił kartą kilkadziesiąt euro za miesiąc. Otrzymał link do instalacji oprogramowania i jednorazowy kod. Na stronie miał wideo instrukcję, jak ominąć, czy właściwiej – wyłączyć wbudowane zabezpieczenia Androida. Potem instalacja. Zazwyczaj zajmuje krócej niż przygotowanie dobrej kawy.
W zdrowej relacji ofiara nie ma żadnych podejrzeń i dostanie się do jej telefonu nie jest trudne. Wystarczy znać PIN i odblokować urządzenie, gdy właściciel jest pod prysznicem, lub skorzystać z tego, że nieświadoma osoba sama wręczy go do ręki, mówiąc: „Sprawdź mi…” lub „Oddzwoń do mojej mamy”.
Potem szybkie działanie: włączenie opcji „instaluj z nieznanych źródeł”, pobranie pliku APK i zaakceptowanie uprawnień. Aplikacja prosi o „accessibility services”, czyli funkcję, która pozwala jej widzieć wszystko, co dzieje się na ekranie. To ten sam mechanizm, którego używają legalne aplikacje dla osób niewidomych. Tu wykorzystywany jest do czegoś zgoła innego.
Na końcu pozostaje ukrycie. Aplikacja znika z menu telefonu. W ustawieniach widać tylko coś o nazwie „System Service” albo „Update Services”. Bożena nigdy nie zwróciła na to uwagi. Żadna nazwa nie była podejrzana.
Do panelu webowego aplikacji Krzysztof loguje się z innego urządzenia. Od tej pory widzi: każdego SMS-a i każdą wiadomość WhatsApp przed jej zaszyfrowaniem, bo aplikacja czyta z poziomu „ułatwień dostępności”, czyli właśnie accessibility services, które w zamierzeniu miały np. mieć dostęp do wszystkiego, co się dzieje na ekranie, i czytać to osobom niewidomym. Robi to, zanim szyfrowanie wbudowane w wiele aplikacji zacznie działać.
Dzięki temu od tej chwili podglądający pozna każde zdjęcie, które Bożena zrobi, lokalizację GPS, która jest aktualizowana. A nawet, jeżeli zechce, może włączyć mikrofon czy kamerę. Klawiatura to też nie problem – każda litera, w którą Bożena stuka, trafia do panelu webowego, jest „podświetlana”, więc wiadomo, w co kliknęła. Stąd też hasła nie są bezpieczne. Podobnie jak notatki w aplikacji czy historia przeglądarki.
Miliony dolarów i prognoza wzrostu
Patrząc po liczbach, jakie osiąga ta brudna branża, można łatwo wyciągnąć wniosek, że osób takich jak Krzysztof – kobiet i mężczyzn z potrzebą nadmiernej kontroli nad partnerem, którego traktują jak własność – jest naprawdę sporo. Globalny rynek stalkerware’u jest wart rocznie blisko sto pięćdziesiąt milionów dolarów. Z prognozami wzrostu na kolejną dekadę, a to pieniądze tylko z subskrypcji.
Cóż można z tym zrobić? Może pozew? Jaki pozew?! Firmy zabezpieczają się przed odpowiedzialnością. W warunkach użytkowania mają klauzulę: „instalacja bez zgody jest nielegalna, użytkownik bierze odpowiedzialność”. Marketing tych firm mówi jednak coś zupełnie innego.
W SEO licytują się o takie hasła wpisywane w wyszukiwarkę: „złap zdradzającego partnera”, „monitoruj mojego męża dyskretnie”, „śledź dziewczynę tak, by tego nie zauważyła”. Google, swoją drogą, formalnie zabroniło reklam stalkerware kilka lat temu, a same aplikacje wyleciały też z oficjalnego sklepu Play Store. Co teoretycznie powinno położyć kres takim działaniom. Niestety, pojawił się jeden wyjątek: kontrola rodzicielska. I właśnie z tego wyjątku korzysta dziś niemal cała branża.
Zwykli ludzie, niewyglądający na stalkerów, a jednak
W lutym tego roku TechCrunch opublikował artykuł na temat haktywisty o pseudonimie wikkid, który włamał się przez – cytując artykuł – „trywialny błąd” na serwer firmy o nazwie Struktura, czyli ukraińskiego dostawcy czterech popularnych stalkerware’owych aplikacji: Geofinder, uMobix, Peekviewer i Xnspy. Wykradł i wypchnął na publiczne forum hakerskie ponad pół miliona rekordów płatności. Każdy rekord zawierał adres e-mail klienta, nazwę aplikacji, którą kupił, kwotę, typ karty i ostatnie cztery cyfry jej numeru. Upublicznił więc, kto, co i kiedy kupił, zdradzając tym samym tożsamości domorosłych detektywów i innych zazdrosnych, toksycznych partnerów.
TechCrunch zweryfikował te dane i okazało się, że są prawdziwe. Jak to zrobili, nie mając dostępu do skrzynek pocztowych użytkowników? Deweloperzy aplikacji Struktura podczas testowania skonfigurowali sobie kod tak, by wszystkie maile, w tym też reset hasła, trafiały na serwery Mailtrap zamiast do prawdziwych skrzynek mailowych.
Kiedy więc apka wysyłała maila, to połączenie szło na ten fałszywy serwer SMTP i wiadomość lądowała w odpowiedniej skrzynce na stronie mailtrap.io (to taki system do sprawdzania, czy wszystko działa tak, jak chcemy, zanim jeszcze uruchomimy serwis produkcyjnie), gdzie deweloper może sobie ją podglądnąć. Po wdrożeniu na produkcji ktoś zapomniał przełączyć tę konfigurację i skrzynki działały nadal.
W efekcie ludzie z TechCrunch znaleźli kilka publicznych skrzynek odbiorczych należących do Struktury. I to wszystko dzięki wyszukiwaniu w Google, bo jeśli nie płaci się za abonament w Mailtrap, to dane w takich skrzynkach są publiczne. Sprawdzili więc maile z wycieku na Mailtrapie i w ten sposób potwierdzili ich autentyczność. Konta więc – przynajmniej na tej próbce – były prawdziwe.
Najwcześniejszy rekord w bazie należał do Viktorii Zosim, prezeski i właścicielki Struktury. Ale pół miliona rekordów to pół miliona e-maili. Niektóre z nich, sprawdzone przez dziennikarzy w kolejnych tygodniach, należały do bardzo konkretnych ludzi: nauczycieli, lekarzy, dyrektora szkoły z Wielkiej Brytanii, pastora z Teksasu, adwokata z Niemiec czy inżyniera z Microsoftu. Tysiące zwykłych ludzi, których nikt nie kojarzył ze stereotypem stalkera.
Nigdy nie dowiemy się, do czego wykorzystali to oprogramowanie, niemniej sam fakt bycia na tej liście jest dość niepokojącym sygnałem. I tak niepokojące jest właśnie całe stalkerware. To produkt dla „zwykłych” ludzi z dostępem do karty kredytowej i poczuciem lub urojeniem, że ich partner coś ukrywa.
To nie są tylko pobrania, to realne godzenie w cudzą prywatność
Stalkerware aktywnie unika detekcji, więc to, co uda się wykryć, jest zaledwie ułamkiem skali, jaka w ogóle działa. W ostatnim raporcie Kaspersky zliczył ponad trzydzieści tysięcy unikalnych urządzeń, na których wykryto stalkerware. Do tej liczby trzeba dodać kilka uwag, bo to wykrycia wykopane tylko przez jedną firmę antywirusową.
Na świecie są dziesiątki konkurencyjnych rozwiązań – widzimy więc tylko wycinek rzeczywistości. Plus od czasu wojny Kaspersky, jako firma rosyjska, ma niewielu użytkowników akurat w krajach zachodnich, gdzie stalkerware jest podobno najbardziej rozpowszechniony. Realna liczba ofiar idzie więc pewnie w setki tysięcy.
Według badań organizacji wspierających ofiary przemocy domowej najgroźniejszy moment dla ofiary to ten, w którym próbuje odejść od sprawcy. Zdecydowana większość zabójstw w relacjach przemocowych ma miejsce po separacji. Wzrost przemocy po próbie odejścia trwa minimum dwa lata. Co to znaczy w kontekście stalkerware? Bożena nie może po prostu odinstalować aplikacji.
Programy takie jak mSpy, według dokumentacji ich własnych stron, wysyłają administratorowi alert o próbie deinstalacji w czasie rzeczywistym. Jeśli więc nasza bohaterka usunie aplikację, Krzysztof dostanie o tym powiadomienie błyskawicznie. Wróci wcześniej z pracy albo zadzwoni z pretensjami. Jakby to nie on zrobił coś złego. W gorszych przypadkach zacznie szukać i dociekać albo zrobi coś jeszcze gorszego.
Psychologia ofiary stalkerware’u jest bliska klasycznemu gaslightingowi. Bożena nie wie, czy Krzysztof wie. To znaczy, że albo Krzysztof jest „geniuszem, który ją zna lepiej niż ona sama”, albo Bożena popada w paranoję. Wybór między tymi dwoma opcjami zwykle wygrywa ta pierwsza, bo druga oznacza zakwestionowanie własnej percepcji rzeczywistości. I to jest niestety siła stalkerware’u. Nie tylko śledzi, ale też tłumaczy ofierze, że nie ma czego się bać, bo „nikt jej nie śledzi i po prostu ma paranoję”. A później tłumaczy się wszystkim, chociaż to nie ona zrobiła coś złego.
Takie historie mogą mieć happy end…
… dla szpiegowanej osoby. Bożena jest bezpieczna. Zajęło jej to półtora roku: od pierwszego momentu podejrzeń, przez kontakt z fundacją, plan bezpieczeństwa, factory reset, przeprowadzkę do innego mieszkania, zmianę numeru, zmianę pracy. Krzysztof nigdy nie został pociągnięty do odpowiedzialności, bo aplikacja, której użył, jest nadal legalnie sprzedawana w wielu krajach świata. Jego adres e-mail prawdopodobnie był na tej liście pół miliona klientów, która wyciekła zimą zeszłego roku. Bożena zresztą nigdy tego nie sprawdziła, czy Krzysztof na niej był.
Jest kilka sygnałów świadczących o tym, że coś może być nie tak z twoim telefonem, choć żadnemu z nich nie ufaj jako temu jednemu dowodowi. Bateria pada nagle w godzinę zamiast w pół dnia. Telefon się grzeje, kiedy nic nie robisz. Transfer danych skacze, zwłaszcza w nocy. Twój partner wie rzeczy, których nie miał prawa wiedzieć. Jeśli kiedykolwiek pomyślałaś sobie: „skąd on to wie?” i odpowiedziałaś sobie „no, znamy się dobrze”, to może być moment, w którym warto się zatrzymać.
Jeśli, czytając ten tekst, czujesz, że podobna historia może dotyczyć ciebie, przeczytaj go do końca uważnie, ale jeszcze w nic nie klikaj i nic nie wyszukuj w sieci. Pokieruję cię, co zrobić, by odciąć stalkera. Później zostaw telefon w domu i wyjdź bez niego. Idź do biblioteki, do koleżanki, do pracy. To ważne, by wykonać poniższe kroki z innego urządzenia, które należy do kogoś zaufanego. Bo jeśli stalkerware jest na twoim telefonie, każde wyszukanie hasła „jak usunąć stalkerware” zostanie pokazane sprawcy w jego panelu. Aha, i zapisz sobie gdzieś na kartce numer Niebieskiej Linii: 800 120 002.
Odetnij stalkera
W bezpiecznym miejscu stwórz swój plan bezpieczeństwa. Nie umiesz zacząć samodzielnie? Pomoże ci go ułożyć konsultant na Niebieskiej Linii. Nie usuwaj stalkerware’u od razu. Nie odinstalowuj apki, dopóki nie masz innego telefonu i bezpiecznego miejsca, dopóki ważne osoby w twoim życiu nie wiedzą, że odchodzisz, dopóki nie masz przygotowanej alternatywnej skrzynki e-mail i hasła do banku zmienionego z innego urządzenia.
Kiedy już to wszystko masz, przychodzi techniczna część. Najprostszy sposób na pozbycie się stalkerware’u to zazwyczaj reset do ustawień fabrycznych z osobnym kontem Google albo iCloud. Nie loguj się na stare konto przy konfiguracji, bo backup może mieć w sobie zainfekowaną aplikację. Po resecie zmień wszystkie ważne hasła. Włącz dwuskładnikowe uwierzytelnianie, najlepiej passkey, a nie SMS. Apple i Google mają wbudowane funkcje typu Safety Check, które pomogą ci zrobić sprawdzenie bezpieczeństwa w parę minut.
Wystarczy tylko 5 minut
I jeszcze prewencja. Pamiętasz: zainstalowanie oprogramowania szpiegującego zajmuje mniej niż wypicie ciepłej kawy, dlatego nie pożyczaj telefonu komukolwiek na dłużej niż minutę.
Jeśli partner prosi o login i hasło do twojego prywatnego konta, warto się na chwilę zatrzymać i zastanowić nad granicami w relacji. Ja nie widzę sytuacji, w której zdrowy związek wymaga współdzielenia haseł do prywatnej skrzynki, ale ludzie i relacje są różne – dlatego jeśli się na to decydujemy, kluczowe jest, żeby taka decyzja była obustronna, dobrowolna i dobrze przegadana, a nie wynikała z presji czy szantażu słowami „jeśli ci na mnie zależy”, „jeśli mnie kochasz”.
Zwracaj uwagę na AirTagi i tagi Bluetooth. Telefony Apple i nowsze Androidy alertują, kiedy nieznane urządzenie tropiące podróżuje z tobą. Sprawdzaj te alerty i nie ignoruj ich.
Jeśli w twoim związku pojawia się prośba o udostępnienie lokalizacji „żeby wiedzieć, że jesteś bezpieczna/bezpieczny”, dobrze jest sprawdzić, co się za tym kryje. Owszem, czasem wynika to z troski, ale czasem także z potrzeby większej kontroli – a granica między nimi bywa cienka. Warto to spokojnie omówić i ustalić, co jest dla was w porządku.
Autor prowadzi platformę uczmnie.pl.