Table of Contents
Na quinta-feira, o WhatsApp obteve uma vitória legal significativa ao convencer um juiz federal dos EUA a disponibilizar publicamente três documentos judiciais que incluem novas informações sobre o funcionamento do Pegasus, o spyware desenvolvido pelo NSO Group, uma fabricante israelense de tecnologia de vigilância.
Esses documentos recém-liberados contêm depoimentos de funcionários da NSO durante o processo legal, documentos internos da empresa e até mensagens do WhatsApp trocadas entre os empregados da NSO, que foram obtidas após intimações do WhatsApp à NSO.
Além disso, os documentos confirmam que a NSO cortou o acesso ao spyware Pegasus para 10 clientes governamentais, citando abusos em seu uso.
Essa liberação de informações é uma extensão do processo legal que o WhatsApp iniciou em 2019, onde acusou a NSO de violação da lei anti-hacking, especificamente a Computer Fraud and Abuse Act, além de infringir os termos de serviço do WhatsApp, ao acessar seus servidores e direcionar usuários com spyware via aplicativo de mensagem. As acusações incluem ciberataques contra jornalistas, dissidentes políticos e ativistas de direitos humanos.
“As evidências reveladas demonstram como as operações da NSO infringiram a legislação dos EUA, atacando jornalistas, defensores dos direitos humanos e membros da sociedade civil”, afirmou Zade Alsawah, porta-voz do WhatsApp, em um comunicado ao TechCrunch. “Continuaremos a buscar responsabilização para a NSO e a proteger nossos usuários.”
‘Dezenas de milhares’ de alvos potenciais
Os documentos judiciais, analisados pelo TechCrunch, revelam que a NSO desenvolveu um arsenal de ferramentas de hacking destinado a usuários do WhatsApp, permitindo o acesso a dados pessoais dos alvos. Este conjunto de ferramentas de hacking foi denominado “Hummingbird”, e possui duas explorações conhecidas como “Eden” e “Heaven.”
O custo para os clientes governamentais da NSO — incluindo departamentos de polícia e agências de inteligência — por uma licença de um ano do conjunto de ferramentas chegava a US$ 6,8 milhões, resultando para a NSO em uma receita de “pelo menos US$ 31 milhões em 2019”, conforme documentos judiciais.
A partir dessas ferramentas, a NSO conseguiu instalar o Pegasus em “centenas a dezenas de milhares” de dispositivos, segundo o depoimento de Tamir Gazneli, chefe de pesquisa e desenvolvimento da NSO.
Até então, a verdadeira origem das mensagens maliciosas enviadas pelo WhatsApp para atingir indivíduos não estava clara. A NSO sempre argumentou que não estava ciente das operações de seus clientes e não participava diretamente dos ciberataques. Contudo, os documentos judicialmente liberados levantam dúvidas sobre algumas das alegações da NSO.
O WhatsApp destacou em um dos documentos que “o papel dos clientes da NSO é mínimo,” já que os clientes governamentais apenas necessitavam inserir o número de telefone do alvo e, segundo relato de um funcionário da NSO, “pressionar Instalar, e o Pegasus se encarregará de instalar o agente remotamente, sem necessidade de qualquer engajamento.”
“Em resumo, o cliente apenas requisita os dados de um dispositivo e a NSO controla completamente o processo de recuperação e entrega por meio do design do Pegasus,” argumentou o WhatsApp.
Registros judiciais citam um funcionário da NSO afirmando que “era nossa decisão se ativar [a exploração] usando mensagens do WhatsApp ou não,” referindo-se a uma das explorações que a empresa fornecia aos seus clientes.
Em resposta ao inquérito, o porta-voz da NSO, Gil Lainer, afirmou ao TechCrunch: “A NSO mantém suas declarações anteriores de que o sistema é operado exclusivamente por nossos clientes, e que nem a NSO nem seus funcionários têm acesso à inteligência coletada pelo sistema.”
“Estamos confiantes de que essas alegações, assim como outras anteriormente, serão provadas falsas em tribunal, e aguardamos ansiosamente essa oportunidade,” declarou Lainer da NSO.
As três explorações da NSO tinham como alvo usuários do WhatsApp
Uma técnica utilizada pela NSO para oferecer a seus clientes o direcionamento de usuários do WhatsApp, descrita em um documento, consistiu na criação do que chamaram de “Servidor de Instalação WhatsApp” ou WIS, que o WhatsApp caracterizou como um “cliente falso”. Esta era basicamente uma versão alterada do aplicativo WhatsApp, projetada para enviar mensagens — incluindo suas explorações maliciosas — para usuários legítimos do WhatsApp. A NSO admitiu ter criado contas reais do WhatsApp para seus clientes, conforme evidenciado por um dos documentos judiciais.
O WhatsApp obteve sucesso em neutralizar as explorações “Eden” e “Heaven” da NSO mediante correções e atualizações de segurança, conforme relatado em uma comunicação interna da NSO.
“Anúncio de R.I.P. Eden/Heaven/Hummingbird,” indicava uma mensagem enviada aos funcionários da NSO.
Os documentos judiciais revelam que a exploração Heaven da NSO esteve ativa antes de 2018 e foi desenvolvida para direcionar dispositivos WhatsApp a se comunicarem com um servidor de retransmissão malicioso controlado pela NSO.
Após o WhatsApp implementar correções para combater a exploração Heaven, a NSO criou uma nova exploração chamada “Eden,” que, segundo um funcionário da NSO, “precisava passar pelos servidores de retransmissão do WhatsApp,” superando as barreiras da exploração Heaven. A exploração Eden levou o WhatsApp a processar a NSO, conforme depoimento de outro funcionário da NSO.
Uma terceira exploração chamada “Erised,” uma técnica de “zero-click”, foi mencionada nos documentos, permitindo que o telefone da vítima fosse comprometido sem qualquer interação da mesma. O WhatsApp bloqueou o uso da exploração Erised da NSO em maio de 2020, alguns meses após o início da ação judicial.
Clientes desconectados
Outro detalhe intrigante que emergiu nesta semana foi a confirmação de um funcionário da NSO sobre a utilização do Pegasus contra a Princesa Haya de Dubai, uma história que foi relatada pelo The Guardian e The Washington Post em 2021, e mais tarde pelo The New Yorker em 2023.
O mesmo funcionário da NSO admitiu que a empresa havia “desconectado” o acesso ao Pegasus para 10 clientes, alegando abuso do spyware.
No estágio atual do processo legal, o WhatsApp busca que o juiz emita um julgamento sumário e aguarda decisão.
Ao mesmo tempo, os detalhes emergentes do processo podem auxiliar outros que também processam a NSO em diferentes localidades, segundo Natalia Krapiva, assessora jurídica de tecnologia da Access Now, organização sem fins lucrativos que investiga casos de abuso do spyware da NSO.
“A determinação do WhatsApp em prosseguir com sua ação legal finalmente traz benefícios,” observou Krapiva ao TechCrunch. “Embora a NSO não tenha compartilhado informações detalhadas (especialmente códigos do Pegasus, lista de clientes, etc.), informações que foram disponibilizadas já são bastante úteis tanto para este caso quanto para processos legais contra a NSO ao redor do mundo.”
“Além disso, o fato de que a NSO encobre informações também lhe traz dificuldades, pois complica a formulação de uma defesa robusta,” concluiu Krapiva.
Análise Técnica do Spyware Pegasus e Suas Explorações
O Pegasus spyware, desenvolvido pelo NSO Group, destaca-se como um dos mais sofisticados sistemas de vigilância já criados. Através de suas técnicas complexas, o Pegasus é capaz de comprometer dispositivos móveis de forma silenciosa, levantando sérias questões sobre segurança cibernética e direitos humanos.
Este artigo complementa a discussão sobre o processo judicial WhatsApp contra a NSO, explorando as diversas explorações e métodos utilizados pelo spyware. Em particular, analisaremos as técnicas envolvidas, incluindo a utilização de ataques zero-click, e a estrutura de suas ferramentas de invasão, como Hummingbird, Eden e Heaven.
O Pegasus representa um abuso de spyware sem precedentes, especialmente por governos autoritários, que frequentemente utilizam essa tecnologia para realizar ciberataques contra jornalistas, ativistas e dissidentes políticos. A compreensão de suas táticas é vital para que possamos entender a magnitude do problema.
Métodos de Instalação e Exploração
Zero-Click Exploits
Uma das características mais alarmantes do Pegasus spyware é sua capacidade de explorar vulnerabilidades de forma que não exige qualquer interação do usuário. Esses zero-click exploits são particularmente perigosos, pois permitem que o spyware seja instalado sem que a vítima tenha que clicar em um link ou atender uma chamada telefônica.
Um exemplo notável ocorreu em 2019, quando o WhatsApp revelou que o Pegasus havia empregado uma vulnerabilidade crítica em seu sistema para realizar ataques. Durante esse incidente, basta uma única chamada telefônica para que o spyware fosse instalado, mesmo que a vítima não atedesse. Essa técnica reduz significativamente as chances do usuário perceber que algo está errado.
Estes exploits geralmente se aproveitam de falhas não corrigidas nos sistemas operacionais, que podem passar despercebidas até que sejam utilizadas por atacantes. À medida que novas atualizações de segurança são lançadas, novas vulnerabilidades também são descobertas, possibilitando um ciclo contínuo de exploração para o NSO Group.
Vectors de Infecção
Meios de Acesso
Os métodos de infecção do Pegasus são variados e englobam não apenas ataques diretos, mas também a utilização de vetores mais sutis. Os principais vetores incluem links maliciosos e aplicativos legítimos, como o Photos, Apple Music, e iMessage.
Além disso, o spyware pode ser instalado via um transceptor wireless próximo ao dispositivo alvo, permitindo que os atacantes acessem o dispositivo sem que a vítima se dê conta. Inclusive, o acesso físico ao dispositivo pode ser suficiente para que o Pegasus seja instalado, o que demonstra a necessidade de um nível elevado de segurança.
As interações com aplicativos populares tornam a infecção ainda mais difícil de detectar. Usuários frequentemente não suspeitam que algo tão comum quanto receber uma mensagem de um amigo possa ser um vetor de infecção, o que ilustra a astúcia envolvida nas operações do NSO Group.
Técnicas de Exploração Específicas
Hummingbird, Eden e Heaven
O arsenal do Pegasus inclui uma suíte de explorações tecnicamente bem desenvolvidas, sendo Hummingbird, Eden e Heaven os exemplos mais notáveis. Embora os documentos judiciais não forneçam todos os detalhes sobre essas explorações, sabe-se que todas elas surgem de um conjunto de vulnerabilidades cuidadosamente mapeadas, que são agrupadas para ataque.
Com o uso dessas vulnerabilidades, o Pegasus pode explorar de forma eficaz dispositivos durante os ciclos de operação. Essas explorações variam dependendo da versão do sistema operacional e das configurações de segurança do dispositivo em questão, tornando a detecção ainda mais complicada.
Um dos exploits mais notáveis é o Trident exploit, que foi utilizado para atacar dispositivos iOS. Ao explorar falhas no kernel do iOS, o Pegasus consegue executar código arbitrário, resultando no comprometimento completo do dispositivo, muitas vezes sem deixar vestígios de sua atividade.
Mecanismos de Persistência e Ocultação
Hooking e Bibliotecas Dinâmicas
Os métodos de persistência e ocultação do Pegasus são igualmente sofisticados. Uma técnica chamada hooking permite que o spyware insira bibliotecas dinâmicas em processos legítimos em execução no dispositivo. Isto é feito utilizando o framework conhecido como Cydia Mobile Substrate, popular na comunidade de jailbreak do iOS.
Essa técnica resulta na capacidade do Pegasus de monitorar e interceptar dados de várias aplicações, como Gmail, Facebook, e WhatsApp. Ao se camuflar em processos legítimos, o spyware se torna quase invisível, dificultando a detecção por softwares de segurança convencionais.
Além disso, o Pegasus pode se auto-destruir caso não consiga comunicar-se com seus servidores de comando e controle por mais de 60 dias. Essa funcionalidade é projetada para remover evidências e índice da presença do spyware, aumentando a dificuldade em detectar sua instalação.
Capacidades do Pegasus
Coleta de Dados
A coleta de dados pelo Pegasus é vastíssima e alarmante. Ele pode extrair uma variedade de informações, incluindo mensagens de texto, e-mails, registros de chamadas, dados de localização, assim como o acesso ao microfone e câmera do dispositivo. Essa coleta abrangente levanta sérias preocupações sobre privacidade e vigilância indevida.
O spyware é capaz de acessar informações sensíveis, como contatos, histórico de navegação e configurações do dispositivo, permitindo que um ator malicioso reúna um perfil detalhado da vítima. O potencial de abuso neste aspecto é enorme, principalmente em ambientes onde a liberdade de expressão e os direitos humanos estão em risco.
Como resultado, a operação do Pegasus não se limita apenas a roubo de informações, mas a criação de uma rede de vigilância intensiva que pode ser usada para silenciar a dissidência, intimidar jornalistas e ameaçar defensores dos direitos humanos.
Detecção e Remoção
Ferramentas de Detecção
A detecção do Pegasus é um desafio significativo devido à natureza covert da instalação. Uma ferramenta notável desenvolvida pela Anistia Internacional é o Mobile Verification Toolkit (MVT), que ajuda na identificação da presença do spyware em dispositivos iOS e Android. Essa ferramenta analisa backups e logs para encontrar sinais de comprometimento.
Além disso, a Kaspersky Labs introduziu métodos que incluem a análise do arquivo shutdown.log
, que pode indicar comprometimentos, mas somente se o dispositivo foi reiniciado no mesmo dia da infecção. Essa abordagem sublinha a necessidade de práticas regulares de manutenção e monitoramento em dispositivos móveis, especialmente para aqueles que operam sob risco elevado.
Em resumo, a detecção e remoção do Pegasus exigem uma compreensão profunda de suas operações e uma vigilância constante, um esforço que pode ser exaustivo, mas necessário em um ambiente digital tão ameaçador.
Implicações Legais da Vigilância Digital e Proteção de Dados
O uso de spyware por governos, como o Pegasus spyware da NSO Group, levanta questões profundas sobre a privacidade e a segurança cibernética. Os recentes desenvolvimentos no processo judicial entre WhatsApp e a NSO ao redor do uso indevido do Pegasus ilustram as implicações legais que essas tecnologias de vigilância impõem. Para entender a seriedade do problema, é essencial considerar o contexto legal no qual esses abusos ocorrem.
As leis que regem a proteção de dados e a privacidade frequentemente se veem em conflito com as práticas de vigilância governamental. O equilíbrio entre assegurar os direitos humanos e implementar medidas de segurança é um tema recorrente nas discussões sobre ciberataques e tecnologias de espionagem.
Leis Nacionais e Internacionais de Privacidade
Lei Geral de Proteção de Dados (LGPD) no Brasil
A LGPD (Lei nº 13.709/18) é uma das principais legislações que assegura a proteção de dados no Brasil. Esta lei estabelece que o consentimento do titular dos dados é crucial para a coleta e uso de informações pessoais, reforçando o direito à privacidade. A LGPD define que qualquer violação de dados ou falha em manter a segurança das informações pode resultar em penalidades severas para as organizações envolvidas.
Além do consentimento, a LGPD promove a transparência no tratamento de dados e proporciona aos indivíduos o direito de acessar, corrigir e eliminar suas informações pessoais. Em ações contra o uso indevido de spyware, como no caso do Pegasus e da NSO, a aplicação rigorosa da LGPD pode trazer à luz abusos que infringem os direitos dos usuários.
Marco Civil da Internet
Outra legislação significativa no Brasil é o Marco Civil da Internet (Lei nº 12.965/14), que assegura a privacidade, liberdade de expressão e neutralidade na rede. Este marco estabelece normas para o uso da internet no Brasil e aponta a necessidade de proteção de dados no ambiente digital. Ele é um pilar fundamental para as discussões sobre vigilância governamental e a responsabilidade das empresas em proteger os dados de seus usuários.
Com base nessas legislações, torna-se essencial averiguar como os casos de ciberataques, como os realizados via Pegasus, podem ser tratados sob a perspectiva legal, garantindo a justiça e a proteção dos direitos humanos.
Uso de Spyware e Interceptação de Comunicações
Autorização Judicial
No contexto brasileiro, a interceptação de comunicações, que inclui o uso de spyware, requer autorização judicial. Conforme estipulado pela Lei nº 9.296/96, qualquer forma de interceptação sem essa autorização é considerada crime. Isso impõe um controle legal necessário sobre o uso de tecnologias de vigilância.
A utilização do Pegasus pelo governo sem a devida autorização judicial não apenas infringe a lei, mas também compromete os direitos dos indivíduos. Nesse sentido, a responsabilidade legal recai sobre quem implementa o uso dessas ferramentas de vigilância, destacando a necessidade de vigilância sobre o uso dessas tecnologias por governos autoritários.
Impacto Legal do Uso de Pegasus
Casos de uso do Pegasus, como os que envolvem jornalistas e ativistas, revelam graves violações da privacidade e da segurança de dados. A má utilização do software pela NSO Group para monitorar e atacar indivíduos tem se mostrado como um exemplo claro de abuso de spyware, tornando imperativo que haja uma responsabilização efetiva.
Além disso, as alegações de que a NSO não tem controle sobre como seu produto é utilizado por clientes governamentais têm se mostrado cada vez mais duvidosas, como demonstrado em documentos judiciais que questionam a atual postura da empresa. Essa situação demanda que as empresas de tecnologia sejam responsabilizadas na hora de garantir a segurança e privacidade dos dados de seus usuários.
Responsabilidade das Empresas de Tecnologia
Proteção de Dados e Segurança
As empresas de tecnologia, incluindo o WhatsApp, têm a responsabilidade legal de proteger os dados de seus usuários. A LGPD e outras legislações ao redor do mundo exigem que essas organizações implementem medidas de segurança eficazes para prevenir acessos não autorizados e vazamentos de dados. A falta de cumprimento dessas obrigações pode resultar em sanções legais e prejuízos à reputação da empresa.
Isso também se reflete na necessidade de uma abordagem proativa em cenários de cibersegurança, que deve envolver a implementação de programas de Bug Bounty. Tais programas permitem que especialistas em segurança da informação identifiquem e corrijam vulnerabilidades, melhorando a защитa dos dados dos usuários.
Programas de Bug Bounty e Cibersegurança
A adoção de programas de Bug Bounty representa uma estratégia eficaz para proteger os sistemas das empresas. Ao convidar profissionais de segurança a testar e relatar falhas, as companhias não apenas melhoram suas defesas, mas também se alinham com as diretrizes estipuladas pela LGPD e outros regulamentos de proteção de dados.
Essas iniciativas ajudam a manter a integridade dos dados e evitam que ferramentas de vigilância sejam utilizadas para abusos, especialmente em um ambiente digital que está sob constante ameaça de ciberataques.
Jurisprudência e Casos Semelhantes
Exceções para Segurança Pública
Embora existam rigorosos padrões legais para a proteção de dados, existem exceções que permitem o uso de tecnologia de vigilância para segurança pública e investigação de crimes. No entanto, mesmo nessas situações, é importante que o uso de spyware e outras ferramentas de vigilância sejam limitados pelo princípio da proporcionalidade e respeitem os direitos dos cidadãos.
Transparência e responsabilidade são essenciais na implementação de qualquer tecnologia de vigilância, especialmente quando esses métodos afetam a vida de indivíduos. A jurisprudência relacionada a casos de uso abusivo do Pegasus e de outras tecnologias pode ajudar a definir as linhas limites e a responsabilidade das partes envolvidas.
Consequências Legais Internacionais
Os casos de vigilância digital abusiva, como os que envolvem o Pegasus, podem ter repercussões legais que vão além das fronteiras nacionais. Legislações como o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia impõem regras rigorosas para proteção de dados pessoais e podem ser aplicadas em casos de abusos transfronteiriços. A cooperação internacional em processos legais é essencial para responder a práticas de vigilância que violam os direitos humanos.
Os casos em que governos utilizam spyware para monitorar dissidentes e jornalistas são exemplos claros que exigem uma resposta robusta da comunidade internacional, tanto em termos de responsabilização legal quanto de proteções legais para vítimas de vigilância.
Conheça mais
- Vigilância Digital: Ações e Implicações
- Direito Digital e Proteção de Dados
- Vigilância na Era da Informação
- Jurisprudência e Vigilância Digital
- Vigilância Digital e LGPD
#pegasus #spyware #NSOGroup #WhatsApp #Ciberataques #VigilanciaGovernamental #DireitosHumanos #SegurancaCibernetica #alegon #cryptoalch