Amazon ospita dati di vittime di stalkerware: la denuncia inascoltata

Lo stalkerware è un tipo di software progettato per monitorare segretamente l'attività di un dispositivo senza che il proprietario ne sia consapevole. Viene spesso installato da stalker, datori di lavoro o malintenzionati con l'obiettivo di tracciare la posizione, leggere messaggi, registrare telefonate e accedere a foto e video della vittima. Questo genere di applicazioni rappresenta una minaccia significativa per la privacy e la sicurezza delle persone, ed è stato al centro di numerosi scandali negli ultimi anni.

Le app Cocospy, Spyic e Spyzie rientrano in questa categoria e funzionano in modo quasi identico. Un ricercatore di sicurezza ha scoperto che condividono lo stesso codice sorgente e la stessa vulnerabilità, la quale ha esposto pubblicamente i dati di 3,1 milioni di utenti, molti dei quali ignari che il proprio smartphone fosse stato compromesso. I dati della violazione sono stati poi condivisi con il noto sito di notifiche sulle violazioni di dati Have I Been Pwned.

Per verificare il comportamento delle app, TechCrunch ha condotto un'indagine dettagliata:

• Installazione e analisi: le app sono state scaricate e installate su un dispositivo Android virtuale per evitare rischi su un telefono reale. Entrambe si presentavano con il nome generico di "System Service", tentando di mimetizzarsi tra le applicazioni di sistema del dispositivo.
• Monitoraggio del traffico dati: attraverso strumenti di analisi della rete, TechCrunch ha scoperto che le app inviano i dati rubati ai rispettivi bucket di archiviazione ospitati su AWS. Un'immagine di prova è stata caricata su un dispositivo compromesso e recuperata direttamente dai server Amazon, confermando che i dati delle vittime venivano effettivamente archiviati lì.
• Accesso ai pannelli di controllo: TechCrunch ha verificato che, accedendo alle dashboard web di Cocospy e Spyic, era possibile vedere i dati trafugati, inclusi i contenuti della galleria fotografica del dispositivo infettato.

Dopo la segnalazione della violazione di Spyzie il 10 marzo, TechCrunch ha analizzato anche questa app, scoprendo che seguiva lo stesso modello delle altre due e inviava i dati su un altro bucket AWS.

Amazon, interpellata più volte da TechCrunch, avrebbe risposto in modo vago. Un portavoce, Ryan Walsh, ha dichiarato che AWS ha termini chiari che vietano l'uso della piattaforma per attività illegali e che l'azienda "agisce rapidamente" quando riceve segnalazioni di violazioni. Tuttavia, ha rimandato i giornalisti a un modulo generico per la segnalazione degli abusi.

Quando TechCrunch ha ribadito la propria segnalazione, includendo nuovamente i nomi dei bucket incriminati, Amazon ha risposto ringraziando per la segnalazione e fornendo, ancora una volta, un link al modulo di segnalazione. Un altro portavoce di Amazon, Casey McGee, avrebbe persino sostenuto che la segnalazione inviata da TechCrunch "non poteva essere considerata un vero report di abuso" perché non era stata inviata attraverso il modulo specifico.

Amazon Web Services è la divisione più redditizia dell'azienda. Nel 2024, ha generato profitti per 39,8 miliardi di dollari, rappresentando la fetta più consistente del guadagno annuo complessivo di Amazon. Questo solleva interrogativi sul perché AWS non abbia ancora preso provvedimenti. La sua politica ufficiale vieta l'hosting di spyware e stalkerware, e in passato la piattaforma ha rimosso contenuti in violazione delle proprie regole. Tuttavia, in questo caso, sembra che la reazione sia rallentata da una questione puramente burocratica: l'azienda non contesta che i dati violino le sue politiche, ma si concentra sul modo in cui le segnalazioni sono state fatte.