A Apple anunciou nesta terça-feira (23) a abertura de um processo contra a empresa israelense NSO Group, que criou o programa de espionagem Pegasus. O software é capaz de invadir iPhones e celulares Android para ativar sua câmera, microfone e acessar dados do dispositivo.
A ferramenta teria sido usada para espionar jornalistas, grupos de ativistas e políticos de oposição de 50 países, de acordo com uma série de reportagens de jornais do Reino Unido e dos Estados Unidos.
Na ação judicial, a Apple procura responsabilizar o NSO Group e impedir a empresa de utilizar qualquer um de seus softwares, serviços ou dispositivos – uma forma de inviabilizar a descoberta de novas brechas e ataques.
- Entenda o que é o Pegasus
- Apple vai vender peças para os próprios clientes consertarem seus iPhones e Macs
A criadora do iPhone também pediu indenização pelo tempo e custo para lidar com o que a empresa argumenta ser o abuso dos seus produtos por parte da empresa israelense.
Segundo a Apple, o valor será doado para organizações e comunidades de pesquisa de cibersegurança que trabalham para revelar o uso desse tipo de ferramenta de espionagem – a empresa também destinou US$ 10 milhões para esses grupos.
Esse não é o primeiro processo que o NSO Group enfrenta. Em outubro de 2019, o Facebook entrou na Justiça alegando que a companhia violou os termos de uso do WhatsApp ao enviar códigos maliciosos a 1.400 usuários entre abril e maio de 2019, usando uma vulnerabilidade no recebimento de chamadas do aplicativo.
O programa espião Pegasus é considerado um dos programas de espionagem mais completos e avançados disponíveis para celulares e pode atacar aparelhos com o sistema operacional Android, do Google, e iOS, utilizado em iPhones.
Sua criadora, o NSO Group, afirma que ele é vendido apenas para agências governamentais que são aprovadas por Israel e que é usado somente para perseguir terroristas e grandes criminosos. Além disso, a empresa diz que não tem acesso aos dados de seus clientes.
A utilização desse tipo de software por governos é feita em segredo e organizações de defesa dos direitos humanos apontam possíveis abusos em relatórios. As empresas que desenvolvem soluções como essa operam em espaço sem regulamentação jurídica.
Uso de brechas de segurança
O Pegasus foi projetado para driblar as proteções do iPhone e de celulares Android e para deixar poucos vestígios de seu ataque.
Em geral, as brechas utilizadas pelo Pegasus ou outros programas do tipo só são conhecidas depois de serem exploradas, e as empresas que são alvo providenciam soluções.
O processo movido pela Apple busca responsabilizar o NSO Group pelo uso dessas brechas e impedir que ela tenha acesso a equipamentos da empresa para encontrar novas vulnerabilidades.
“Organizações patrocinadas por estados, como o NSO Group, gastam milhões de dólares em tecnologias sofisticadas de espionagem sem a responsabilização efetiva. Isso precisa mudar”, disse o vice-presidente de engenharia de software da Apple, Craig Federighi, em comunicado.
“Embora as ameaças cibernéticas impactem um número muito pequeno dos nossos consumidores, levados qualquer ataque sobre os nossos usuários a sério e estamos trabalhando constantemente para reforçar a segurança e as proteções de privacidade”, completou.
Na ação judicial, a Apple deu mais detalhes de uma das vulnerabilidades que teriam sido usadas pelo NSO Group e que foram descobertas por pesquisadores do Citizen Lab, um grupo de pesquisa de segurança digital da Universidade de Toronto, no Canadá.
“O spyware (vírus espião) foi usado para atacar um pequeno número de usuários Apple no mundo. A ação judicial da procura proibir o NSO Group de prejudicar ainda mais as pessoas. A ação também busca reparação pelas flagrantes violações da lei federal e estadual dos EUA por parte do NSO Group”, disse a empresa em comunicado.
A Apple disse que as versões atualizadas do sistema do iPhone corrigem as vulnerabilidades.
Quando o ataque à jornalistas, ativistas e políticos foi revelado, o NSO Group disse que o relatório da Forbidden Stories, que trouxe a história à tona, elabora teorias sem comprovação e é cheio de suposições erradas.
A empresa afirma que o Pegasus é vendido apenas para agências governamentais que são aprovadas e que é usado apenas para perseguir terroristas e grandes criminosos. Além disso, o NSO Group diz que não tem acesso aos dados de seus clientes.
Veja 5 dicas para se manter seguro on-line:
5 dicas de segurança para sua vida digital