Espionagem

WhatsApp tenta forçar empresa a revelar os governos que permitiu ‘invadir’ telefones

Juíza da Califórnia deu razão à companhia de Zuckerberg e permitiu prosseguir com denúncia que busca revelar os governos que hackearam celulares graças ao software da NSO

Mark Zuckerberg, em Washington em 2019.
Mark Zuckerberg, em Washington em 2019.Erin Scott / REUTERS

Os segredos da empresa israelense por trás da espionagem contra os líderes independentistas catalães ―entre outros alvos pelo mundo, inclusive no Brasil― estão mais perto de serem revelados após a decisão, na última quinta-feira, de uma juíza de San Francisco. Ali, o gigante Facebook, proprietário do WhatsApp, apresentou uma denúncia buscando obter uma sanção exemplar que acabe com a empresa de software de espionagem NSO Group e sirva de advertência para outras. Mais importante no âmbito político, porém, é que a denúncia ameaça revelar os negócios da NSO com os governos que a contrataram para espionar seus próprios cidadãos. Na quinta-feira, a juíza Phyllis Hamilton rechaçou as alegações preliminares da NSO sobre a legalidade do processo e decidiu que a denúncia pode prosseguir. 

A NSO Group é dona do Pegasus, o software espião que supostamente invadiu os celulares do presidente do Parlamento regional da Catalunha, Roger Torrent, e do ex-conselheiro do partido Esquerda Republicana da Catalunha (ERC, independentista) Ernest Maragall, segundo uma investigação do EL PAÍS e do The Guardian. A intrusão nos telefones dos dirigentes independentistas catalães ocorreu graças a uma falha de segurança do WhatsApp que, entre abril e maio de 2019, permitiu que o programa penetrasse nos celulares de cerca de 1.400 pessoas. No caso dos políticos independentistas, será muito complicado conhecer a identidade de quem instalou os sistemas de espionagem em seus telefones, mas é sabido que os serviços de inteligência espanhóis dispõem desse software. 

O Facebook se refere à falha de segurança como CVE-2019-3568, nome da advertência de segurança que publicou em 13 de maio, quando descobriu que alguém estava hackeando celulares através do WhatsApp, propriedade da empresa de Zuckerberg. Para os 1.400 afetados, por trás desse nome técnico estão todas as suas mensagens, e-mails, conversas, contatos, fotos, gravações, dados de localização e qualquer coisa que tenham apontado com sua câmera. Tudo acabou nas mãos dos espiões.

Segundo a denúncia, a NSO Group criou várias contas de Facebook e WhatsApp, entre janeiro de 2018 e maio de 2019, com o objetivo de utilizá-las como veículo para seu programa espião de celulares. As contas foram criadas com números de telefone de vários países, entre os quais se mencionam Chipre, Israel, Brasil, Indonésia, Suécia e Holanda. Em seguida, a NSO alugou servidores em diversos países, incluindo Estados Unidos. Os servidores estavam nas empresas Choopa, Quadranet e Amazon Web Services.

De alguma forma, a NSO conseguiu desmontar o código do aplicativo e criou um programa que simulava uma chamada de WhatsApp. Isso é o que as vítimas viram. Uma chamada que “aparentava ser originada no WhatsApp”. Uma chamada perdida... e o programa espião da NSO ficava instalado em seus celulares. Nem era preciso responder. Entre os afetados há advogados, jornalistas, ativistas de direitos humanos, dissidentes políticos, diplomatas, altos funcionários e, segundo o EL PAÍS confirmou esta semana, pelo menos dois líderes da ERC.

Quando o Facebook identificou o buraco, fechou-o e publicou a falha de segurança em sua página, em 13 de maio de 2019. Um funcionário da NSO, não identificado pela denúncia, disse: “Vocês acabam de fechar nosso maior ponto remoto para celulares... Saiu nas notícias no mundo inteiro.” A denúncia não deixa claro durante quantos dias essa porta esteve aberta.

A partir daí, há apenas interrogantes. A NSO afirma que não espiona ninguém, que a única coisa que faz é vender o programa a governos para combater o crime e o terrorismo, nunca para perseguir dissidentes. Quantos governos compraram o software? Quais foram eles? Como eram os termos do contrato? Quanto pagaram? Quem foram os 1.400 indivíduos? São perguntas sem respostas mais de um ano após os fatos.

Prestígio e indenização exemplar

Aqui entra em cena a denúncia do Facebook e do WhatsApp. Foi apresentada em 29 de outubro de 2019 nos tribunais federais do norte da Califórnia, com sede em San Francisco. A empresa de Mark Zuckerberg pede uma medida cautelar que proíba à NSO o acesso a todas suas plataformas, o que a privaria da maior rede de comunicação do mundo. Também pede à juíza que condene a NSO a uma indenização exemplar pelos danos causados.

Para as empresas, é uma importante questão de prestígio. O WhatsApp oferece aos usuários  um dos sistemas de privacidade mais seguros do mundo, com encriptação de ponta a ponta (as mensagens saem encriptadas do emissor e são decodificadas pelo receptor; ninguém de fora pode ver o que dizem). O aplicativo é usado por 1,5 bilhão de pessoas em 180 países. O programa espião não penetrou estritamente no WhatsApp; o que fez foi se instalar nos telefones usando o WhatsApp para roubar as informações dos aparelhos. Mas os danos à imagem da companhia de Zuckerberg são difíceis de calcular. 

A importância da demanda é que, no mínimo, obrigará a NSO a dar explicações. Se a empresa israelense quer argumentar que não fez os hackeamentos de celulares, deverá provar ―o que a abrigaria, em princípio, a apontar quais foram os clientes. Ao levar o assunto à Justiça, o Facebook pode acabar obrigando a NSO a revelar tantas informações sobre suas atividades que acabará fora do jogo. E o mundo inteiro poderá ter as respostas para muitas de suas perguntas. Numa recente moção da fase prévia, o Facebook pediu à juíza que a NSO revele quem realizou cada um dos 1.400 ataques (ou seja, qual governo) e peça “todas as informações sobre clientes e servidores da NSO”. Na quinta-feira, após a decisão da magistrada a favor do WhatsApp, seus porta-vozes reagiram recordando que agora poderão pedir “importantes documentos” sobre as atividades da NSO.

Desde outubro, as partes estavam entrincheiradas numa batalha de questões preliminares, nas quais a NSO contestava toda a denúncia. Para começar, negava o suposto prejuízo ao WhatsApp. Dizia que não havia sentido a proibição de usar o serviço porque, se o WhatsApp fechou o buraco, já não há possibilidade de continuar com o suposto prejuízo. Num momento de sua argumentação, os israelenses dispararam com ironia contra os californianos. “O WhatsApp volta a ser seguro, e seus usuários podem enviar com segurança mensagens encriptadas (e planejar ataques terroristas e compartilhar pornografia infantil) sem risco de serem detectados pela polícia ou pelos serviços de inteligência”, disse a NSO numa de suas exposições dessa fase preliminar. 

A NSO também questiona a jurisdição federal e californiana sobre o caso, esforçando-se para que qualquer queixa contra ela seja resolvida ante a Justiça israelense. Lá, nesta mesma semana, um tribunal de Tel Aviv lhe deu razão e rechaçou uma denúncia da Anistia Internacional que pedia a suspensão da licença para exportar seus produtos a governos estrangeiros. O Facebook, por sua vez, argumenta que foram atacados servidores localizados na Califórnia e que algumas das vítimas da espionagem também estavam no Estado. E que, quando alguém cria contas do Facebook e do WhatsApp, os termos do contratos estipulam que os conflitos sejam submetidos à Justiça federal e californiana. 

Dessa batalha judicial depende, segundo a denúncia, a reparação do suposto prejuízo econômico e de reputação do WhatsApp. Mas também estão em jogo o futuro da NSO, o mercado de programas de espionagem e, sobretudo, a possível revelação de todas as informações que essa empresa tiver sobre os governos que os utilizam. 

Mais informações