Como o Pegasus invade celulares mesmo se o usuário não fizer nada
Criado por uma empresa israelense, o Pegasus é uma das armas de espionagem digital mais modernas já feitas
Rafael Balago, de SP – Governos de ao menos dez países usaram o programa Pegasus para espionar celulares de jornalistas e opositores, revelou uma investigação feita por veículos de imprensa internacionais.
Criado por uma empresa israelense, o Pegasus é uma das armas de espionagem digital mais modernas já feitas, segundo a OCCRP (Projeto de Reportagens sobre Crime Organizado e Corrupção, na sigla em inglês), entidade que fez parte da investigação revelada no domingo (18). A seguir, leia um resumo do que se sabe sobre o programa-espião e como evitar ataques de ferramentas assim.
O que é o Pegasus?
Uma ferramenta de espionagem digital vendida pela empresa israelense NSO Group. Em vez de tentar interceptar dados em circulação na internet, ela se instala dentro dos celulares-alvo e passa a ter acesso a todas as informações dentro dos aparelhos.
A empresa diz que fornece a tecnologia apenas para governos, para fins como investigar terroristas, pedófilos e criminosos em geral, mas não revela seus clientes. Todas as vendas precisam ser aprovadas pelo Ministério da Defesa de Israel. Sua existência se tornou pública em 2018.
O que ele faz?
Monitora praticamente todas as informações nos celulares, como troca de mensagens, acesso a emails e conversas por telefone. Também pode acionar câmera, microfone e sensor GPS do celular a fim de captar informações, sem que o usuário perceba.
Por estar dentro dos aparelhos, desvia de barreiras como criptografia ponta-a-ponta, na qual apenas o autor e o receptor de uma mensagem conseguem ter acesso a ela.
Como ocorre a invasão?
Há várias formas. Inicialmente, era mais comum a infecção por meio de envio de links. O dono do aparelho recebia mensagens com promoções que poderiam interessá-lo, como um desconto em produtos. Ao clicar, era levado a uma página falsa, que acionava o download e a instalação do programa-espião, sem que o usuário notasse.
Há muitas táticas para convencer a vítima a clicar no link, como enviar uma série de mensagens de spam. Quando a pessoa clica na opção “parar de receber esta mensagem”, cai no link infectado.
Nos últimos dois anos, tornou-se mais comum o modelo “zero link”, no qual a infiltração acontece sem que o usuário faça nada. O programa-espião busca brechas de segurança em apps ou sites do dia a dia e se infiltra por elas.
Por padrão, os aplicativos no celular têm permissão para acessar a internet. Se a segurança do app não for configurada pelos desenvolvedores de modo adequado, um hacker pode conseguir se infiltrar e enviar o programa-espião por um app qualquer, como de mensagens, música, notícias, exercícios etc. Ao entrar no celular, o Pegasus se instala e começa a espionar em poucos segundos.
Há também a tática “injeção de rede”, que faz uma interceptação momentânea na conexão entre o celular-alvo e um site conhecido. O ataque dura milissegundos e consegue fazer a infiltração antes que o site ou o dispositivo do usuário notem a falha.
No entanto, essa opção é mais complexa, pois depende de um monitoramento de como o usuário-alvo utiliza a internet, para saber em qual app ou site colocar a armadilha e a hora exata para acioná-la. Assim, é preciso também ter acesso a dados de conexão, armazenados por empresas de telefonia.
Este tipo de espionagem pode ser usado no Brasil?
Por lei, não. “O sigilo das comunicações é uma garantia constitucional”, diz Francisco Brito Cruz, diretor do Internetlab, centro de pesquisa sobre tecnologia. Governos e investigadores só podem quebrá-lo mediante autorização judicial, e para fins específicos: pode-se solicitar a apreensão do aparelho ou a quebra do sigilo telemático (que inclui ligações, mensagens de texto e email). Isso não inclui invadir e monitorar o aparelho em tempo real.
Há formas de identificar se meu aparelho foi invadido?
“No caso de ferramentas sofisticadas como o Pegasus, é quase impossível para um usuário leigo perceber que houve uma invasão”, diz Brito. Para checar isso, especialistas buscam no aparelho por links usados em ataques anteriores, ou conexões do aparelho com servidores ligados à NSO. Mesmo assim, muitas vezes não há rastros.
O que fazer para se proteger?
A principal forma é manter em dia as atualizações de apps e do sistema operacional (iOS, Android etc), pois elas trazem conserto para brechas de segurança. Trata-se de um embate constante, na qual as empresas de TI buscam corrigir falhas enquanto hackers caçam novos pontos fracos. Assim, quanto mais desatualizado o aparelho, maior o risco de invasão.
Outra recomendação é não clicar em páginas em que o navegador (como Chrome ou Firefox) alerta que há falhas de segurança, como “certificado expirado”. Esses avisos indicam que a conexão entre você e o site desejado pode ter sido violada, abrindo caminho para invasões.
Quanto custa usar uma ferramenta de invasão?
Invadir cerca de dez telefones, usando uma versão anterior ao Pegasus, custava em torno de US$ 650 mil, mais US$ 500 mil de taxa de instalação, segundo reportagem do New York Times, de 2016. Especialistas apontam que, por conta do alto custo, programas assim não são usados de forma massiva, mas sim de modo direcionado a alvos específicos, como opositores políticos, ativistas, empresários e jornalistas.
Opositor indiano e chefe do FT podem ter sido espionados
O principal rival político do primeiro-ministro indiano, a editora-chefe do jornal britânico Financial Times e jornalistas premiados estão entre os nomes que podem ter tido seus celulares invadidos por governos com o uso do Pegasus, segundo reportagens do The Guardian. O veículo britânico é um dos 17 que começaram a publicar neste domingo (18) uma investigação envolvendo o uso abusivo do programa-espião por governos de ao menos dez países.