WhatsApp força fabricante do spyware Pegasus a revelar código secreto
(arstechnica.com)- O WhatsApp vem exigindo desde 2019 acesso ao código do spyware Pegasus da NSO Group, e um tribunal dos EUA decidiu que a empresa deve revelar informações sobre todas as funções do spyware relacionado, e não apenas sobre a camada de instalação
- O centro do processo é a alegação do WhatsApp de que o Pegasus espionou 1.400 usuários do WhatsApp durante duas semanas e acessou sem autorização dados sensíveis, incluindo mensagens criptografadas
- A juíza distrital dos EUA Phyllis Hamilton entendeu que apenas a camada de instalação não basta para identificar como os dados eram acessados e extraídos, e incluiu no escopo de divulgação também spywares relacionados da NSO que visaram servidores do WhatsApp ou usaram o WhatsApp
- No entanto, o tribunal excluiu detalhes da arquitetura de servidores da NSO e a exigência de identificar clientes, além de rejeitar um pedido da NSO para obter comunicações posteriores ao processo entre o WhatsApp e o Citizen Lab
- A divulgação de especialistas pelas duas partes está marcada para 30 de agosto de 2024, e o início do julgamento está previsto para 3 de março de 2025, o que deve tornar o alcance real das funções do Pegasus uma peça central do mérito da ação
Decisão do tribunal sobre a divulgação das funções do Pegasus
- O WhatsApp processou a NSO Group alegando que o Pegasus foi usado em 2019, durante duas semanas, para espionar 1.400 usuários do WhatsApp
- O WhatsApp afirma que o Pegasus acessou sem autorização dados sensíveis, incluindo mensagens criptografadas
- Na época, o processo foi considerado uma medida legal sem precedentes contra uma indústria sem regulação que vende serviços avançados de malware a governos do mundo todo
- A NSO tentou bloquear toda a fase de produção de provas, citando várias restrições nos EUA e em Israel, mas o pedido de bloqueio amplo foi rejeitado
Entendimento de que a camada de instalação não é suficiente
- A juíza distrital dos EUA Phyllis Hamilton rejeitou o argumento da NSO de que bastaria entregar informações sobre a camada de instalação do Pegasus
- O tribunal acolheu o pedido do WhatsApp e ordenou o fornecimento de informações sobre “todas as funções do spyware relacionado”
- O entendimento foi de que, apenas com informações da camada de instalação, seria difícil para a autora compreender como o spyware executava funções de acesso e extração de dados
- O escopo de divulgação inclui spywares relacionados da NSO que tenham mirado servidores do WhatsApp ou usado o WhatsApp de qualquer forma para acessar o dispositivo-alvo
- O período abrange de 1 ano antes a 1 ano depois do suposto ataque
Funções do Pegasus alegadas pelo WhatsApp
- O WhatsApp afirma que o Pegasus pode interceptar comunicações que entram e saem do dispositivo
- Entre os serviços visados estão iMessage, Skype, Telegram, WeChat, Facebook Messenger e WhatsApp
- A ação também afirma que o Pegasus pode ser customizado conforme o objetivo
- interceptação de comunicações
- captura de screenshots
- extração do histórico do navegador
Informações excluídas da divulgação
- A juíza Hamilton não autorizou todos os pedidos de produção de provas do WhatsApp
- Certas informações sobre a arquitetura de servidores da NSO ficaram fora do escopo de divulgação
- O motivo é que o WhatsApp poderia obter essas mesmas informações a partir dos dados sobre as funções completas do spyware relacionado
- A NSO não será obrigada a identificar seus clientes
- A NSO não divulga publicamente quais governos compraram o spyware
- Segundo reportagem do The Guardian, há relatos de que Poland, Saudi Arabia, Rwanda, India, Hungary e United Arab Emirates usaram o Pegasus para mirar dissidentes
- Em 2021, os EUA colocaram a NSO em uma blacklist, sob a acusação de disseminar “ferramentas digitais usadas para repressão”
Pedido relacionado ao Citizen Lab é rejeitado
- Na mesma decisão, a juíza Hamilton também rejeitou o pedido da NSO para que o WhatsApp divulgasse comunicações posteriores ao processo com o Citizen Lab
- O Citizen Lab participou do caso como testemunha de terceiros e sustentou o argumento do WhatsApp de que clientes da NSO usaram indevidamente o Pegasus contra a sociedade civil
- Em documento apresentado ao tribunal, a NSO escreveu que a necessidade dessa produção de provas cairia significativamente se o WhatsApp retirasse dos autos a afirmação do Citizen Lab de que o Pegasus foi usado contra membros da sociedade civil, e não para investigações de terrorismo e crimes graves
- A juíza Hamilton entendeu que era difícil ver a relevância da prova solicitada e rejeitou o pedido da NSO
Próximos passos e reações
- A NSO ainda não comentou a decisão
- Um porta-voz do WhatsApp disse ao The Guardian que a decisão é um marco importante no objetivo de longo prazo da empresa de proteger usuários do WhatsApp contra ataques ilegais
- O porta-voz afirmou que empresas de spyware e agentes maliciosos precisam entender que podem ser responsabilizados e que não podem ignorar a lei
- O tribunal deve receber a divulgação de especialistas das duas partes em 30 de agosto de 2024
- O julgamento deve começar em 3 de março de 2025
1 comentários
Opiniões no Hacker News
É interessante a abordagem da NSO, que tentou bloquear todo o processo de discovery alegando “diversas restrições dos EUA e de Israel”, mas teve o pedido negado
É bem provável que um tribunal americano não dê muita importância às regras israelenses, por serem restrições de outro país
O governo dos EUA colocou oficialmente o Pegasus na lista negra, mas https://arstechnica.com/tech-policy/2021/11/us-blacklists-ma..., eu não ficaria surpreso se algumas agências de inteligência americanas ainda o usassem
Nesse caso, a Pegasus poderia pedir a agências de inteligência dos EUA que bloqueassem o processo com base em divulgação de informações sigilosas ou prejuízo ao interesse nacional
Vai ser interessante ver se, de repente, “alguma coisa” acontece e o caso é misteriosamente arquivado
É muito mais fácil simplesmente pedir e receber os resultados de agências de inteligência aliadas que usam Pegasus
Um modelo de coleta mantendo distância de um braço é juridicamente menos arriscado
Mas isso é desfavorável para alegar segurança nacional em um tribunal americano. Porque viraria: “Vocês usam este software?” “Oficialmente, não.” “Então com que fundamento alegam segurança nacional?”
Já faz bastante tempo desde as revelações de Snowden, e só o que vimos naquela época já era difícil de acreditar
Nem consigo imaginar o que as agências de inteligência usam hoje
Diante do que essas agências têm e podem usar, fico pensando o que há de tão especial no Pegasus
Não entendo bem este caso
Não sei por que um tribunal dos EUA teria jurisdição sobre uma empresa estrangeira israelense de spyware que o próprio governo americano já colocou na lista negra
E também me pergunto por que Israel enviaria o código-fonte do spyware ao WhatsApp mesmo que perdesse o caso
Se não responder, perde por revelia, e o tribunal pode ordenar a apreensão de ativos que os EUA consigam alcançar
Mesmo que receba pagamentos em shekels em países fora de Israel, no processo de câmbio o dólar entra como moeda intermediária, e aí está a brecha dos EUA
Na França também houve um caso absurdo
Os EUA praticamente levaram a gigante francesa Alstom à falência e a compraram a preço de banana; depois, também tentaram derrubar a Airbus
Em ambos os casos, os EUA usaram o direito de aplicação extraterritorial que atribuíram a si mesmos
Essa história está documentada neste documentário: https://www.arte.tv/fr/videos/093798-000-A/la-bataille-d-air...
Antes também dava para assistir no YouTube em https://youtu.be/Sa22eu1FWyo, mas agora parece estar privado. Talvez fosse uma revelação inconveniente
O FATCA também é possível pelo mesmo motivo
É o que o governo vive chamando de “ordem internacional liberal”
Israel assinou um tratado comprometendo-se a respeitar e executar decisões de tribunais dos EUA, e os EUA também assinaram um tratado comprometendo-se a respeitar e executar decisões de tribunais de Israel
Então, se um juiz americano assina uma ordem e a envia a um juiz israelense, o juiz israelense a executa, e vice-versa
Claro que eles podem ignorar o processo, mas nesse caso é melhor que os envolvidos nunca mais entrem nos EUA
Para começo de conversa, o modo de operação deles parece ter forte caráter criminoso, a ponto de eu querer recomendar a todos os ex-funcionários que evitem entrar nos EUA
Fico curioso se uma das outras plataformas mencionadas é o Signal
Isso não significa que a vulnerabilidade estivesse naquele app, nem que fosse culpa do app
No fim, entendo isso como um problema da plataforma, especialmente iOS e Apple, e dos desenvolvedores e corretores de exploits
É por isso que a Apple não gosta deles
Para o bem ou para o mal, pressionar a Apple pode, em geral, ser bom também para o restante dos usuários
Por outro lado, também dá para dizer que a Apple deveria cuidar melhor desse tipo de problema e pagar recompensas maiores a pesquisadores de segurança
Está melhor do que há 20 anos, mas vender exploits para esses atores suspeitos ainda provavelmente rende mais do que esperar que uma gigante pague trocados por uma descoberta
Para referência, https://grapheneos.org/ e https://signal.org/ existem
Se um spyware conseguiu obter no dispositivo privilégios de acesso em nível ring0, as propriedades de segurança de um app como o Signal deixam de ter muita importância
Porque o spyware consegue acessá-lo com extrema facilidade
Israel jamais permitiria a exportação do código-fonte
Não entendo por que a Pegasus teria de enviar o código-fonte real ao WhatsApp mesmo que perdesse o caso
Não bastaria enviar qualquer coisa falsa? Estou deixando passar algo?
Não entendo por que o NSO Group — e, além disso, Israel — não foram sancionados por causa desse spyware
Essa empresa é uma empresa perigosa que vende ferramentas fáceis de abusar aos piores inimigos antidemocráticos do Ocidente
É política
A Guiné Equatorial foi um exemplo disso, envolvendo contratos entre o ditador Obiang e a ExxonMobil
Steve Coll escreveu assim em "Private Empire: ExxonMobil and American Power" (2012)
Não é nada bom para os países-alvo, mas é vantajoso para as agências de inteligência de Israel e dos EUA
Por isso não quero trabalhar na área de cibersegurança
Porque é preciso lidar com pessoas perigosas
E cibersegurança é uma área muito ampla
Muitas funções se parecem mais com ensinar princípios e procedimentos de segurança aos funcionários e implementar classificação de dados
Nem todo mundo lida diretamente com ataques; a maior parte é trabalho preventivo
Na nossa empresa, entre as pessoas que tecnicamente trabalham com cibersegurança, provavelmente menos de 20% lidam diretamente com ataques. Embora isso também tenha a ver com o fato de termos terceirizado o nosso SOC