Os documentos despertam questões difíceis para os gigantes da tecnologia do Vale do Silício, nos quais bilhões de usuários confiam como guardiões de informações pessoais sigilosas, segredos empresariais e fichas médicas, contra a ação de hackers.
A empresa sempre sustentou que seu software, projetado como arma por Israel, só é vendido a governos responsáveis, a fim de prevenir ataques terroristas e crimes. Mas o Pegasus foi identificado por pesquisadores em celulares de ativistas dos direitos humanos e jornalistas de todo o planeta, o que gerou afirmações de que governos repressivos o estariam usando para cometer abusos.
Afirma-se que a nova técnica copia as chaves de autenticação de serviços como Google Drive, Facebook, Messenger e iCloud, entre outros, de um celular infectado, permitindo que um servidor separado se faça passar pelo aparelho de um usuário, o que inclui simular sua localização.
Isso confere acesso livre aos dados em nuvem de todos os apps, sem “requerer verificação em dois passos ou disparar um alerta no dispositivo visado”, de acordo com um documento de vendas.
O método funciona em qualquer aparelho que possa ser infectado pelo Pegasus, entre os quis muitos dos smartphones Android e iPhone mais recentes, de acordo com os documentos, e permite acesso regular a dados subidos para a nuvem de laptops, tablets e telefones – mesmo que o Pegasus seja removido do smartphone originalmente infectado.
Um documento de vendas da Q-Cyber, a empresa que controla a NSO, preparado para o governo de Uganda alguns meses atrás, alardeia a capacidade do Pegasus para “recuperar as chaves que abrem repositórios fechados” e “sincronizar e extrair dados independentemente”.
Ter acesso a um “ponto de entrada em nuvem” pode significar que os intrusos obtenham acesso a conteúdo “muito superior ao do smartphone”, permitindo que informações sobre um alvo sejam obtidas de múltiplos apps e serviços, de acordo com a mensagem de vendas. Não está claro até o momento se o governo ugandense adquiriu o serviço, que custa milhões de dólares.
As equipes de segurança das empresas potencialmente afetadas no Vale do Silício estão investigando o método, que parece atacar as técnicas de autenticação mais frequentes do setor, até agora vistas como seguras.
A Amazon anunciou que não havia encontrado indicações de que seus sistemas empresariais, entre os quais contas de usuários, tivessem sido acessados pelo software, mas acrescentou que continuaria a “investigar e monitorar a questão. O Facebook declarou que estava “revisando as afirmações”. A Microsoft disse que sua tecnologia estava “evoluindo continuamente a fim de oferecer a melhor proteção aos nossos clientes” e instou os usuários a “conservarem seus aparelhos saudáveis”.
A Apple afirmou que seu sistema operacional era “a mais segura e a mais garantida plataforma de computação do planeta. Embora possam existir algumas ferramentas dispendiosas que permitam ataques dirigidos contra pequeno número de aparelhos, não acreditamos que sejam úteis para ataques generalizados aos consumidores”. A empresa acrescentou que atualiza regularmente seu sistema operacional e recursos de segurança.
O Google não quis comentar.
“Esse anúncio precisa ser encarado com seriedade por muitas empresas”, disse John Scott-Railton, pesquisador sênior do Citizen Lab, na Universidade de Toronto, que acompanha o do Pegasus. Ele disse que o caso “acelera a necessidade de formas mais fortes de autenticação de aparelhos”.
Um porta-voz da NSO disse que “não oferecemos ou comercializamos qualquer forma de capacidade de ‘hacking’ ou coleta de dados em massa de aplicativos, serviços ou infraestrutura de nuvem”.
Enquanto isso, a empresa de US$ 1 bilhão enfrenta processos em Israel e no Chipre, que a acusam de responsabilidade parcial pelo uso abusivo de seu software por parte de governos repressivos.
Em maio, o Financial Times reportou que a empresa havia usado uma vulnerabilidade no sistema de mensagens WhatsApp., do Facebook, para inserir o Pegasus em smartphones. O WhatsApp corrigiu o defeito que permitia que isso acontecesse e o Departamento da Justiça dos Estados Unidos está investigando o caso.
Depois dessas revelações, a Novalpina Capital, companhia de capital privado britânica que detém uma grande fatia da NSO, prometeu reformar suas práticas de negócios e “estabelecer uma nova referência em termos de transparência”, mas ainda não divulgou detalhes sobre isso.
O número de pessoas cujas contas de computação em nuvem foram alvo dessa técnica mais recente não é conhecido ainda. Um dos documentos de vendas oferece uma maneira antiquada de impedir esse tipo de escuta: mudar a senha de um app e revogar sua permissão de login. Isso cancela a autorização de acesso reproduzida, até que, nas palavras do documento, o Pegasus volte a ser empregado.
Fonte: Financial Times. tradução de Paulo Migliacci