O WhatsApp entrou com um processo na corte distrital do norte da Califórnia. O alvo do processo é a empresa de segurança israelense NSO . Segundo o WhatsApp, a NSO desenvolveu e usou um malware chamado Pegasus para infectar centenas de smartphones em diferentes países. A partir da infecção, os aparelhos podiam ser completamente controlados pelos invasores , que também podiam ouvir ligações, ter acesso a fotos, mensagens de voz e mensagens de texto.
O mais grave é que para que a invasão acontecesse, bastava que o telefone do alvo recebesse uma chamada de voz ou de vídeo no WhatsApp . A vítima sequer precisaria atender a chamada para ter seu aparelho comprometido. A tecnologia super sofisticada da NSO teria sido contratada por governos de diferentes países para controlar e monitorar opositores dos regimes.
Leia também: Hackers podem controlar smartphones Android; veja se o seu está na lista
Envolvimento de governos
Segundo o processo impetrado pelo WhatsApp , o malware criado pela NSO foi empregado em cerca de 45 países e, em pelo menos 10, foi usado para ações de monitoramento e vigilância além das fronteiras. A ação cita nominalmente o México, o Casaquistão, o Bahrein, o Marrocos, os Emirados Árabes Unidos e a Arábia Saudita.
Vários outros processos já foram registrados em Israel contra a NSO e sua empresa controladora, a Q Cyber Technologies - mas todos eles, até agora, tinham como reclamantes pessoas físicas que afirmavam que seus telefones haviam sido infectados pelo código malicioso criado pela companhia. A ação do WhatsApp é um marco por se tratar da primeira vez que uma empresa de tecnologia decide ir à justiça contra uma outra companhia por atitudes de espionagem e por desrespeito aos termos de uso do serviço.
E a criptografia ponta a ponta?
As mensagens enviadas por meio do WhatsApp e outros mensageiros eletrônicos são protegidas pelo que se convencionou chamar de criptografia ponta a ponta . Por ela, a mensagem é cifrada no momente em que é transmitida, e só pode ser descriptografada pelos aparelhos receptores. Nem mesmo o WhatsApp ou outras empresas similares conseguem, teoricamente, ter acesso aos conteúdos.
Você viu?
Leia também: Criminosos clonam WhatsApp com facilidade; saiba como evitar
Porém, o que o Pegasus - o malware da NSO - faz é se instalar no aparelho da vítima, tendo a acesso a todo e qualquer tipo de informação que está presente nele. Ou seja, ele conseguem ler e ouvir a mensagens no próprios dispositivos, escapando da criptografia do serviço. Neste caso, o WhatsApp foi usado pela NSO como agente propagador . A empresa identificou uma brecha de segurança no sistema e se aproveitou dela para usar o WhatsApp como veículo para seu código malicioso.
Em maio deste ano (2019), o WhatsApp anunciou que havia alertado 1.400 usuários em diferentes partes do mundo que eles poderiam ter sido vítimas do Pegasus . De lá para cá, a empresa diz que corrigiu a brecha de segurança que permitia a propagação do malware.
Uma indústria sombria, pelo menos uma vítima fatal conhecida
Desde que as denúncias de Edward Snowden vieram à tona, jogando luz sobre os mecanismo de vigilância da NSA - National Security Agency norte-americana - a criptografia se tornou uma tecnologia presente em praticamente todos os serviços de mensagens. Porém, a consequência direta disso foi o surgimento de um imenso e altamente lucrativo mercado de empresas de altíssima tecnologia, que se especializaram em maneiras de contornar esses sistemas. A NSO é apenas a mais visível delas, mas há um verdadeiro rol de outras empresas que se dedicam ao mesmo fim. Em geral, quem as contrata são governos que optam por agir à margem da lei contra seus próprios cidadãos ou cidadãos de outras nações, para atender interesses próprios.
Leia também: WhatsApp para Android pode ser invadido via GIF, saiba como se proteger
O caso mais famoso envolvendo o Pegasus, um governo autoritário e um assassinato é o do jornalista Jamal Khashoggi, que foi morto dentro da embaixada da Arábia Saudita, na Turquia. Jamal Khashoggi era um dissidente e um crítico contumaz do regime saudita e um de seus amigos mais próximos, Omar Abdulazis, alega num processo que o smartphone de Jamal Khashoggi havia sido infectado com o Pegasus , o que permitiu ao governo saudita seguir seus movimentos.
A NSO nega as acusões do WhatsApp e diz que seu malware foi criado e usado para combater o terrorismo - e que qualquer uso diferente desse vai contra os termos de uso de sua criação.
A partir do processo histórico aberto pelo WhatsApp , espera-se que a comunidade internacional possa jogar um pouco mais de luz sobre a obscura indústria de empresas de tecnologia que se dedicam a invadira a privacidade dos usuários. Atualmente, boa parte delas se concentra em Israel.