Como uma empresa de espionagem oferece acesso total a smartphones para governos
Governos do mundo inteiro espionam cidadãos citando fins de segurança. Mas como eles conseguem fazer isso? Um vazamento recente detalhou os serviços oferecidos por uma empresa israelense de dispositivos de espionagem – e ela é apenas uma em um mercado cada vez mais disputado.
• Grupo hacker israelense usava técnica que permitia espionar qualquer iPhone
• O problema do argumento “quem não deve, não teme” para a vigilância em massa
A empresa em questão se chama NSO Group e foi fundada em 2010 por Omri Lavie e Shalev Hulio. Com seis anos de vida, ela vê a busca por ferramentas de espionagem crescer cada vez mais e tem diversas ofertas para quem quiser, por exemplo, ver tudo o que uma pessoa faz em um smartphone.
Seu lema é “fazer do mundo um lugar mais seguro”. E, pelo jeito, eles acham que o melhor jeito de trazer segurança é invadir a privacidade dos outros.
A existência de alguns dos negócios da NSO Group foi descoberta depois que pesquisadores de segurança detectaram um dos seus spywares tentando ganhar acesso ao iPhone de um ativista de direitos humanos nos Emirados Árabes Unidos. E o The New York Times obteve uma série de emails internos que detalham mais ou menos como essa indústria de vigilância digital opera.
Preços altos para violar a privacidade
Segundo o NYT, por US$ 650.000 a NSO Group oferece ferramentas que permitem espionar 10 iPhones sem que seus usuários percebam. Essas ferramentas permitem a coleta de tudo o que você digita, sons, mensagens e até a sua localização. Há uma taxa de instalação de US$ 500.000, e por mais US$ 800.000 você ganha mais 100 alvos para espionar.
E não são só iPhones que podem ser invadidos: a NSO também oferece espionagem de usuários de Android (US$ 650.000 por 10 usuários), BlackBerry (US$ 500 por cinco usuários) e Symbian (US$ 300.000 por cinco usuários). Ainda há taxas de manutenção anuais. E com o crescimento da criptografia nos serviços de empresas como Apple, Google e Facebook, as ferramentas da NSO se tornam ainda mais importantes para governos que querem espionar seus cidadãos.
Uma das ferramentas da NSO – que está sendo cada vez mais usada por governos e agências de segurança pelo mundo – é uma chamada Pegasus. Ela permite a coleta de mensagens de texto, lista de contatos, registros de calendário, emails, mensagens instantâneas e localizações de GPS.
Com ela também dá para capturar imagens da tela de um smartphone, ou usar uma câmera para tirar fotos. Ela também pode negar acesso a alguns sites e coletar todo o histórico de navegação de um celular. Os dados ainda são enviados em tempo real para servidores.
A instalação do Pegasus nos smartphones dos alvos de espionagem pode ser feita “pelo ar de forma furtiva”, ou por links maliciosos em mensagens de texto ou emails, além de pontos de Wi-Fi públicos modificados para disparar o software para smartphones.
Para oferecer seus serviços – a NSO diz dar aos seus clientes a possibilidade de “coletar remotamente e secretamente informações sobre relacionamentos, localização, telefonemas, planos e atividades do seu alvo” -, a empresa se aproveita de falhas de segurança pouco conhecidas e engenharia social para ter acesso ao dispositivo alvo. Seu spyware foi descoberto usando três falhas no sistema de Apple (que já foram corrigidas), mas algumas vezes eles tentam enganar os alvos para que eles cliquem em links maliciosos.
Apenas clientes selecionados?
Para quem teme que isso possa cair nas mãos erradas, a NSO Group diz que não fecha acordos para qualquer um. Eles dizem ter um conselho interno que pode vetar o negócio caso o cliente seja um governo constantemente vinculado a violações de direitos humanos, por exemplo. Só que, até hoje, nenhum negócio foi vetado, diz o NYT.
Além disso, a NSO não faz nenhuma checagem para conferir se as ferramentas estão sendo usadas para o que foi negociado. E isso ficou bem claro nos casos vazados recentemente – além do ativista de direitos humanos nos Emirados Árabes, os serviços da NSO também são usados no México para espionar um jornalista que escreveu sobre corrupção governamental. São dois casos bem distantes do que muita gente poderia considerar mais tolerável a espionagem – terroristas, grandes traficantes de drogas e sequestradores, por exemplo.
Desde os vazamentos de Edward Snowden sobre os programas de vigilância da NSA, a questão da segurança e da privacidade dos usuários está sendo bastante discutida. Falar simplesmente que “quem não deve não teme” não é um bom argumento, como já falamos no passado.
Se por um lado empresas como Google, Facebook e Apple se esforçam para oferecer cada vez mais a sensação de privacidade em seus serviços, por outro há grupos voltados para explorar qualquer falha que seja para ter acesso total e indevido a um dispositivo – e não são apenas grupos de hackers sinistros sentados em frente a um computador de madrugada, mas também governos e agências de segurança que parecem não se incomodar em gastar algumas centenas de milhares de dólares para saber todos os passos de uma pessoa a partir do smartphone dela.