Escândalo de spyware Pegasus: O Vale do Silício pode impedir a espionagem do governo?

Por

Mulher ao telefone em frente ao edifício NSO

O grupo NSO é baseado em Israel

JACK GUEZ / AFP via Getty Images

Spyware vendido para uso em investigações anti-terror está sendo mal utilizado para vigiar jornalistas, acadêmicos e políticos em todo o mundo, de acordo com um relatório da O guardião e organizações parceiras.

Acredita-se que o NSO Group, com sede em Israel, vende o spyware para vários países, incluindo Azerbaijão, Bahrein, Arábia Saudita, Índia e Emirados Árabes Unidos. Ele permite ao usuário ler dados de smartphones e espionar por meio de seus microfones e câmeras. O software, chamado Pegasus, usa vulnerabilidades no código-fonte do smartphone e da mídia social.

As empresas de tecnologia que fazem esses telefones e plataformas de mídia social estão agora envolvidas em uma longa batalha legal com a NSO para evitar o hackeamento de suas plataformas – mas será que a vigilância estatal não monitorada e não regulamentada pode ser interrompida?

O WhatsApp e o Facebook, sua empresa controladora, entraram com um processo na Califórnia em 2019, alegando que a NSO havia invadido seus servidores para infectar 1.400 telefones pertencentes a usuários do WhatsApp, argumentando que era uma violação da Lei de Fraude e Abuso de Computador dos Estados Unidos (CFAA) . A NSO disse que deveria ter “imunidade soberana” porque vende para governos não americanos, um argumento que foi rejeitado em dezembro de 2020 e que a empresa é apelativa.

O WhatsApp agora quer uma liminar permanente impedindo a NSO de tentar obter acesso a seus sistemas. O sucesso do caso depende se o NSO é considerado invasor de sistemas ou se isso está sendo feito pelos usuários de seu software. Tomar medidas legais contra os governos seria uma proposta muito mais difícil. Microsoft, Cisco, GitHub, Google, LinkedIn, VMWare e a Internet Association juntaram-se agora ao processo judicial.

Pegasus pode usar SMS, WhatsApp e iMessage para infectar um telefone e colher mensagens, e-mails, contatos, dados de GPS, calendários, fotos e vídeos armazenados em um telefone. Ele também pode ativar o microfone e a câmera para gravar sub-repticiamente os arredores do proprietário.

O caso está ganhando novas manchetes após uma investigação de O guardião e Forbidden Stories, que afirma ter uma lista vazada de 50.000 números de telefone com base em 45 países que foram selecionados para vigilância por muitos usuários de Pegasus, mostrando que a ferramenta está sendo usada para monitorar jornalistas, opositores políticos e ativistas, além de ser usada para anti-terrorismo ou investigações de crimes graves.

A NSO, fundada por ex-operadores de vigilância do estado israelense, já foi envolvida em histórias semelhantes antes. No ano passado, pesquisadores afirmaram que o Pegasus havia sido usado por pelo menos duas agências estaduais para hackear telefones de jornalistas da Al Jazeera e da TV Al Araby. Em 2018, a Amnistia Internacional afirmou que o software da NSO tinha sido utilizado para atingir o seu pessoal. E em 2017, descobriu-se que o México estava usando o software para atingir jornalistas e suas famílias. Seu uso também foi suspeito na invasão do telefone do fundador da Amazon, Jeff Bezos.

Ron Deibert, da Universidade de Toronto, no Canadá, lidera um grupo de pesquisa que investiga e divulga o uso de softwares de vigilância como o Pegasus. Ele diz que se sua pequena equipe puder descobrir detalhes sobre como os clientes da NSO estão usando a ferramenta, a própria empresa poderá facilmente fazer o mesmo.

“O litígio pode ser uma das maneiras mais imediatas de controlar os excessos do mercado global de spyware mal regulamentado”, diz ele. “Se o litígio for bem-sucedido e resultar em penalidades financeiras reais para empresas como a NSO, a indústria como um todo pode ser incentivada a controlar melhor para quem está vendendo e como está sendo implantado.”

Alan Woodward, da Universidade de Surrey, no Reino Unido, diz que há um grande lucro a ser obtido na descoberta de novas maneiras de explorar os pontos fracos do software, empacotando-os e vendendo-os o mais amplamente possível. Infelizmente, uma vez que o software está nas mãos de um estado, ele pode ser direcionado a qualquer pessoa que o estado considere adequada, com pouca supervisão.

Woodward diz que os clientes tendem a ser governos que não têm sua própria capacidade cibernética ofensiva e que os fabricantes de telefones e empresas de mídia social estão envolvidos em um jogo de gato e rato em que exploits são encontrados, mas depois corrigidos. Freqüentemente, esses exploits continuarão a ser úteis para alguns alvos porque os proprietários não atualizam seu software com os novos patches.

Neil Brown, do escritório de advocacia do Reino Unido decoded.legal, afirma que a questão é um problema jurídico complexo e “inovador”, sem solução óbvia. Mesmo que a ação judicial contra o Grupo NSO seja bem-sucedida, é improvável que a prática seja interrompida porque há várias outras empresas oferecendo serviços semelhantes.

A própria empresa italiana Hacking Team sofreu um vazamento de dados em 2015, revelando que sua lista de clientes para um produto semelhante ao Pegasus incluía a CIA, as Forças Armadas Libanesas e até mesmo o banco Barclays. Parar a prática pode exigir legislação, mas Deibert diz que isso será problemático porque muitos estados têm interesse em permitir que o hackeamento continue, acrescentando que é uma “epidemia de proporções globais”.

A NSO afirma que licencia seus produtos para governos “com o único propósito de prevenir e investigar o terrorismo e crimes graves”. Um porta-voz do Grupo NSO disse em uma declaração preparada que a empresa negou que seus produtos estivessem sendo usados ​​indevidamente, mas confirmou que a empresa investigaria todas as alegações confiáveis ​​de uso indevido e tomaria as medidas adequadas, como fechar o acesso à Pegasus por um cliente estatal – algo que já aconteceu “várias vezes” no passado. Ele também negou que a lista de números de telefone que vazou fosse uma lista de alvos. A empresa se recusou a responder a outras perguntas.

Mais sobre esses tópicos:

Leave a Reply

Your email address will not be published. Required fields are marked *