Apple envia alerta a desenvolvedor de exploits de que seu iPhone foi alvo de spyware governamental

 (techcrunch.com)
2 pontos por GN⁺ 2025-10-23 | 1 comentários | Compartilhar no WhatsApp
  • A Apple enviou um alerta para um desenvolvedor de exploits de que seu iPhone tinha sido atingido por spyware governamental
  • Esse desenvolvedor era um especialista que, antes, trabalhava na Trenchant desenvolvendo falhas zero-day e ferramentas do iOS
  • Nos últimos meses, foram identificados mais desenvolvedores de exploits e spyware que também receberam alertas de spyware similares
  • A expansão de spyware e ferramentas de ataque zero-day mostra que o público-alvo agora abrange também diversos especialistas de segurança
  • Há a hipótese de que a sobreposição entre a suspeita de vazamento de ferramentas na empresa e o processo de demissão tenha transformado esse profissional em um injusto bodes expiatório

Visão geral do caso

  • No início deste ano, um desenvolvedor de ferramentas de hacking recebeu no seu iPhone pessoal a mensagem da Apple: “Detectamos que seu iPhone foi identificado como alvo de um ataque de spyware mercenário direcionado”, e ficou muito abalado
  • O indivíduo usou o pseudônimo Jay Gibson para não revelar a identidade real, com receio de retaliações
  • Gibson trabalhava recentemente na Trenchant, uma empresa de desenvolvimento de ferramentas de hacking para governos ocidentais, no desenvolvimento de vulnerabilidades e exploits zero-day de iOS
  • Ele é o primeiro caso documentado no setor em que um próprio desenvolvedor de spyware e exploits se torna alvo desses ataques

Após o incidente

  • Gibson relatou que sentiu “uma perplexidade extrema e medo intenso por não entender o que estava acontecendo” e, imediatamente, desligou o celular e comprou outro aparelho
  • Ele fez reações confusas, como ligar para o pai, e disse que o momento era bastante caótico
  • Em entrevista à TechCrunch, Gibson afirmou: “Quando a situação atinge esse estágio, ninguém pode prever o que vai acontecer a partir de agora” e expressou preocupação

Surgimento de vítimas semelhantes no setor

  • Além do caso de Gibson, foi confirmado pela apuração que existem outros desenvolvedores de spyware e exploits que receberam alertas de spyware da Apple nos últimos meses
  • A Apple não respondeu ao pedido de comentário da TechCrunch

Impacto da expansão de spyware e de ferramentas zero-day

  • O caso de Gibson mostra que a difusão de ferramentas zero-day e spyware está ampliando e diversificando os alvos das ameaças
  • Fabricantes de spyware e ferramentas zero-day afirmaram oficialmente que suas ferramentas são usadas apenas por governos confiáveis para atingir criminosos ou terroristas
  • No entanto, grupos de pesquisa como Citizen Lab, da Universidade de Toronto, e a Amnesty International identificaram dezenas de casos na última década mostrando que governos usaram repetidamente essas ferramentas contra opositores do governo, jornalistas, defensores de direitos humanos, rivais políticos e outros
  • Já houve casos anteriores de pesquisadores de segurança serem alvos de grupos de hackers (inclusive o caso da Coreia do Norte), mas é raro que o próprio desenvolvedor de spyware seja o alvo

Inquérito e investigação de suspeita de vazamento interno

Após o alerta da Apple

  • Depois de receber o alerta, Gibson entrou em contato com um especialista com vasta experiência em análise forense de ataques de spyware
  • A primeira análise não encontrou sinais claros de infecção, porém o especialista recomendou uma análise forense mais detalhada
  • Uma análise precisa exigia o backup completo do dispositivo de Gibson; no entanto, ele recusou investigações adicionais devido a preocupações com privacidade e segurança
  • Nos últimos tempos, também cresce o número de casos de ataques de spyware sem rastros claros em análises forenses

Demissão e conflito interno

  • Cerca de um mês antes do alerta da Apple, Gibson visitou o escritório da Trenchant em Londres para participar de um evento de team building da empresa
  • Logo ao entrar, foi avisado pelo gerente da empresa, sob suspeita de trabalho simultâneo em dois empregos, de que seria suspenso e de que todos os dispositivos corporativos seriam apreendidos e analisados
  • Aproximadamente duas semanas depois, Gibson recebeu oficialmente da empresa uma notificação de demissão e uma proposta de compensação
  • Gibson argumenta que a empresa o apontou como bode expiatório no caso de um vazamento de suas ferramentas de hacking
  • Gibson e três colegas afirmaram que eles não estão relacionados ao desenvolvimento de zero-day de Chrome, e as equipes internas eram estritamente separadas por plataforma
  • A demissão de Gibson, seus motivos, e as suspeitas e rumores internos foram confirmados de forma independente por três ex-colegas da Trenchant

Percepções e informações adicionais

  • Este caso sinaliza que a expansão da tecnologia spyware também está expondo profissionais de segurança a riscos de ataque
  • Ele traz implicações sobre a militarização de falhas por governos e instituições, riscos internos de segurança e a proteção de desenvolvedores, entre outros pontos
  • O porta-voz da L3Harris (empresa-mãe da Trenchant) recusou-se a comentar oficialmente
  • Gibson e ex-colegas sustentam que ele não foi o responsável pelo vazamento e que a decisão da empresa foi incorreta

Leituras relacionadas

1 comentários

 
GN⁺ 2025-10-23
Comentário do Hacker News

  • Já me candidatei a empresas desse tipo (não à citada no artigo). Até já vi, depois de receber uma oferta, eles chegando perto o suficiente para eu perceber que estavam usando uma vulnerabilidade contra mim. Também imagino que essa situação esteja nesse mesmo contexto. Eu não consigo ver como alguém poderia desenvolver isso com boa consciência, com objetivo de revender essas vulnerabilidades. Se essas empresas usam ferramentas de ataque sem qualquer hesitação até contra seus próprios funcionários, não vão ter restrições para usar isso contra figuras com poder real, como parlamento, tribunais, bancos de investimento e líderes de TI. O resultado é o poder de chantagear as pessoas mais influentes do mundo. Ah, e nem se mencionou que essas empresas podem até já estar planejando usar isso contra dissidentes políticos ou jornalistas.

    • Essas empresas, por padrão, filtram naturalmente pessoas com valores éticos fortes e, no pior caso, trazem quem pensa em “querer espionar os outros às escondidas”. Essa realidade é assustadora.

    • Se alguém perguntar se dá para desenvolver isso com consciência, eu diria que a atividade de inteligência de informação vai acontecer de algum jeito de qualquer forma, e CNE (Computer Network Exploitation) custa menos e gera menos dano do que inteligência humana. Claro que o fato dessa tecnologia ser usada no mundo inteiro contra dissidentes e jornalistas é um problema sério. Eu também não quero mais trabalhar nessa área (e já nem tenho mais essa capacidade). Mas quem trabalha no setor achando que está ajudando países da OTAN tem uma lógica: desconfiança fundamental de sistema judicial e agências de inteligência é de uma minoria, e há muitas famílias orgulhosas de ter parentes nisso. O ponto mais importante aqui é que “a nossa opinião não significa nada”. Com os preços atuais, quase todo país pode comprar tecnologia de CNE, e fornecedores fora da OTAN já suprem bem esse mercado.

    • O fato de eles terem ido longe o bastante para realmente tentar atacar foi realmente chocante. Fiquei curioso de saber como foi exatamente: se enviaram um link por SMS ou de alguma outra forma.

    • Talvez isso tenha sido apenas parte de uma etapa da entrevista.

    • Por esse motivo, não quero trabalhar na indústria de cibersegurança; é perigoso demais, parece uma terra sem lei.

  • No texto do artigo vi a frase de que “Gibson pode ter sido o primeiro caso documentado de um desenvolvedor de vulnerabilidade e spyware que, enquanto desenvolvia spyware, foi diretamente atacado por spyware”, mas nos últimos meses parece ter havido outros desenvolvedores de spyware e vulnerabilidades atacados além do Gibson.

  • Tenho mais interesse em como a Apple toma decisões como essa do que no drama entre o desenvolvedor e o antigo empregador.

    • A empresa anterior pode ter sido Wi-Fi sandbox ou usado equipamentos tipo Stingray, mas no caso da Apple dá para identificar que esse tráfego foi feito por um canal oficial do iMessage/PushNotification.

  • Da citação do Gibson de “eu estava em estado de pânico”, fiquei até rindo ao imaginar se o nome real dele não era Jay Gibson e o repórter não sabia.

  • Tive que reler o artigo “Apple envia alerta para desenvolvedor de exploits” várias vezes para entender o sentido. No início parecia “um alerta da Apple de alguma forma atacando o dev”, depois entendi “ah, esse aviso é enviado pela Apple a quem cria vulnerabilidade de segurança”.

    • Então isso quer dizer que a Apple teria avisado ao dev qual era a “vulnerabilidade” dele? :)

  • No fim das contas, parece que alguém vazou uma falha do Chrome dentro da organização, e esse indivíduo foi escolhido como um tipo de bode expiatório; mas também faz sentido que toda essa história pareça forjada, não totalmente real.

  • Esse cara tem ferramenta para verificar se ele próprio (ou algum cliente grande acima dele) vaza alguma coisa, e ainda assim achou que eles não iriam conferir se “foi mesmo assim”. Isso foi uma ingenuidade absurda; provavelmente houve também um movimento de alerta de advertência.

  • Com a citação do Gibson de “eu estava em estado de pânico”, depois veio no texto “sem uma análise forense detalhada, não se sabe por que foi atacado” e “ele acredita que o alerta de ameaça da Apple está ligado à saída da Trenchant”. O curioso é: (1) nunca imaginou que algo assim lhe acontecesse; e (2) mesmo em uma situação dessas faz entrevista para a imprensa, mas tem medo de retaliação. Sinceramente, nesse nível já tem gente o bastante querendo saber que deve conhecer o nome real.

    • Sinceramente, essa história ainda cheira bem a ficção, a não ser que essa pessoa seja um “caçador” bem pouco conhecido no mercado. Quem trabalha com pesquisa de vulnerabilidades precisa ter mapeado claramente todos os vetores de ataque, e se está numa empresa sensível como a Trenchant, dificilmente usa iPhone no trabalho (ou pelo menos não totalmente). Em geral, eu separo um celular público comum e outro celular privado com segurança bem reforçada para operar. Se conecto um iPhone ao roteador, o tráfego de pacotes mostra uma enxurrada de dados indo para a Apple fora do meu controle; já no Android personalizado com root e de-googled que levo quando viajo, se faço o mesmo experimento, sobra só tráfego NTP, e isso basicamente para evitar desvio de tempo de certificado.

    • Nessa situação, sair na mídia também pode ser uma escolha estratégica para evitar sumir.

  • No trecho “o próprio Gibson, que desenvolveu software de vigilância, virou o primeiro caso documentado de alvo de spyware”, veio à cabeça o meme “leopards ate my face” (leopardas comeram meu rosto). No fim, essas ferramentas são feitas para uso real.

    • Há já mais de 20 anos é fato extremamente conhecido no setor que desenvolvedores de vulnerabilidade sempre foram alvo principal de spyware. Parece que o repórter não conhece bem esse mercado.

    • Se você quiser saber de onde vem o meme “leopard ate my face”, dá uma olhada aqui.

    • O texto inteiro parece aquela confusão de “falei isto, falei aquilo” depois de o Gibson sair da Trenchant/L3Harris.

  • Eu também já passei por algo parecido num contrato de defesa no passado e por isso entendo um pouco o Gibson. Essas empresas atraem pessoas com promessa de bom salário e “trabalho bom”, no fim extraem a energia do funcionário para gerar lucro, e se algo dá errado jogam toda a culpa para ele (especialmente se denunciar internamente corrupção ou erro com consciência, é demitido na hora e fica queimado no mercado). O melhor é não trabalhar para essas pessoas, mas continuam surgindo pessoas que, de forma ingênua, acham que estão fazendo “algo bom” ou que vão “caçar o bandido”. No fim, vira o meme “as leopardas comeram meu rosto”.

    • Eu comecei achando que “se você se alistasse, tirasse top secret clearance e ensinasse a gerenciar LAN e pôr imagem no PowerPoint para oficiais, nunca ficaria desempregado”; mas no fim o trabalho acabou sendo só ser tratado como peça substituível na guerra de PowerPoint de alguém. Todas as reuniões pareciam uma peça de altíssimo risco repetindo só “sim, entendi”, responsabilidade era opcional, e quem levantasse a voz era cortado na hora. Até erro de bilhões de dólares passa como “lição aprendida”, enquanto para mim soa como defesa da honestidade. É como o jogo do “o rei está nu”, com todo mundo de coleira e medo de vazamento de informação.