Pegasus. A arma cibernética israelita que toma conta do telemóvel e já foi usada contra jornalistas

O nome do mítico cavalo alado branco não terá sido por acaso. Pegasus, o sistema de ciberespionagem da empresa israelita NSO que esta semana voltou a ser notícia por ter sido utilizado para espiar responsáveis políticos europeus, é capaz de chegar onde os seus congéneres não conseguem: voa tão velozmente pelo ciberespaço que é difícil de detetar e, pelo caminho, apanha até o que está nas "nuvens".

Produto do NSO Group, startup formada há dez anos, em Herzliya, perto de Telavive, por três ex-membros dos serviços de espionagem israelita, Niv Carmi, Omri Lavie e Shalev Hulio, o sistema informático na base do Pegasus é formalmente classificado como um serviço de cibervigilância com fins de segurança. Graças a uma autorização de exportação do Ministério da Defesa do Governo de Israel, este sistema é licenciado exclusivamente a entidades governamentais e não a empresas privadas.

A sua utilização devia ser, assim, estrita, regulada e limitada ao combate ao crime e ao anti-terrorismo. O que, dizem organizações Não Governamentais como a Amnistia Internacional e a Citizen Lab, está longe de acontecer.

Contra El Chapo mas também direitos humanos

O Pegasus tem por base um spyware - uma espécie de vírus informático que se instala no smartphone sem o utilizador saber, quando este clica num link fraudulento, por exemplo - que entrou em circulação pelo menos em 2011, segundo se sabe. Alegamente, foi nesse ano utlizado pelas autoridades mexicanas para capturar o narcotraficante El Chapo.

Mas foi a partir de 2016 que o sistema entrou no radar do Citizen Lab, quando apareceram relatos de que estava a ser utilizado pelos Emirados Árabes Unidos para vigiar ativistas de direitos humanos.

Desde então, os casos vêm-se sucedendo. Aproveitando vulnerabilidades dos sistemas operativos dos iPhones (Apple), dos Android (Google), bem como dos programas de mensagens instantâneas como Skype, Viber, Telegram ou WhatsApp. A ONG Citizen Lab tem somado casos atrás de casos de jornalistas, advogados ou ativistas de direitos humanos que têm visto a sua privacidade violada utilizando, ao que tudo indica, esta tecnologia - que é licenciada exclusicamente a entidades governamentais.

Quase todas estas vultnerabilidades (bugs) foram já colmatadas pelos gigantes do software visados, mas entretanto o próprio spyware também evoluiu, naquele que é um eterno jogo de gato e do rato no ciberespaço.

Ainda esta terça-feira, a Amnistia Internacional acusou as autoridades marroquinas de utilizarem o Pegasus para espiar o telefone de Omar Radi, um jornalista marroquino. A NSO, por seu lado, declarou-se "profundamente perturbada pelas alegações".

E no início da semana houve os casos dos telemóveis de Roger Torrent, presidente do Parlamento da Região Autónoma espanhola da Catalunha, de Anna Gabril, dirigente do partido catalão Candidatura d'Unitat Popular, e do conselheiro para a Administração Pública da Generalitat, Jorgi Puigneró, que alegadamente sofreram "intrusões" por meio do Pegasus. É público que o governo espanhol é cliente do grupo NSO.

O escândalo com o WhatsApp que o trouxe para a ribalta

O maior caso contra o Pegasus - que está atualmente em tribunal - surgiu em outubro passado, quando o WhatsApp, propriedade do Facebook, reconheceu ter sido vítima deste spyware, tendo pelo menos 1400 personalidades sido visadas, entre os meses de abril e maio.

Na altura, o Pegasus aproveitava uma vulnerabilidade no serviço de videochamada do WhatsApp para se instalar. Curiosamente, segundo explicou um responsável da empresa propriedade do Facebook, "nem sequer era preciso a pessoa terminar a chamada para que o spyware se instalasse. O utilizador recebia o que parecia ser um telefonema normal, durante o qual se transmitia um código malicioso que infetava o telefone".

Em meados do ano passado uma atualização do programa de mensagens instantâneas - um dos mais utilizados do mundo - acabou com esta vulnerabilidade. Mas a sofisticação do ataque é bem patente.

O WhatsApp processou posteriormente a NSO, num tribunal da California. O processo ainda decorre.

Toda a nuvem fica a nu... sem saber

Na perspetiva da NSO, a eficiência do seu programa de ciberespionagem é um enorme argumento de venda. Isto porque o Pegasus não se limita e instalar-se no smarphone do alvo e a "escutar" as chamadas e as mensagens escritas. Vai muito mais além.

Após instalar-se, o Pegasus contacta os computadores dos serviços "na nuvem" a que o telefone está ligado - Apple, Google, Microsoft, Amazon, etc - e começa a copiar os dados lá armazenados - incluindo fotos, vídeos, documentos e passwords, reenviando-os para os servidores do governo que está a espiar.

Além disso, assume o controlo da câmara e microfone do telemóvel, permitindo a sua ativação remota sempre que os serviços de espionagem o entenderem. Igualmente os sistemas de geolocalização do telefone ficam à mercê do atacante, pelo que o aparelho (e o seu portador) passa a poder ser localizado a qualquer momento.

Todos estes pontos são devidamente sublinhados nas sessões de promoção do sistema, descreve o Financial Times, que teve acesso a esses documentos.

A agravar a situação, a tecnologia consegue fazer esta espionagem ultrapassando mesmo os sistemas de segurança mais rígidos, como a "verificação de dois passos" (em que o utilizador tem de se identificar com a passsword e um segundo código), uma vez que age através do telemóvel que já se encontra devidamente autenticado na rede.

Então qual é melhor forma de uma pessoa se defender de um ataque destes? Escreve o FT: mudar a password da app. Provavelmente, o mais antigo método do mundo...