Tecnologia Falhas em aplicativos de mensagens valem ouro no mercado da espionagem
Por Redação O Sul | 10 de julho de 2019
Falhas na segurança de aplicativos de troca de mensagens valem ouro no cada vez mais requisitado mercado da espionagem. E são armas usadas até mesmo por agências oficiais, que se valem dessas vulnerabilidades para aumentar a capacidade de investigação. A atuação dos hackers nesses sistemas ganhou visibilidade depois da invasão do celular de Deltan Dallagnol, coordenador da força-tarefa da operação Lava-Jato, que levou ao vazamento de mensagens que ele teria trocado com o ministro da Justiça Sérgio Moro, à época juiz federal em Curitiba. As informações são do jornal O Globo.
São os hackers que movimentam o setor, ao descobrirem brechas e vendê-las para quem pagar mais alto, sejam os clientes bandidos ou mocinhos. Segundo um relatório da ONU (Organização das Nações Unidas) divulgado em junho, regimes autoritários também estão entre os participantes desse mercado milionário, com frágil regulamentação no Brasil, segundo o advogado Omar Kaminski, especialista em direito digital.
“É uma completa zona cinzenta. O limite acaba sendo a ética, algo que é bastante subjetivo. No caso de ordem judicial, geralmente há segredo de justiça, então é difícil saber se esse tipo de ação fica dentro dos limites”, disse Kaminski.
A Polícia Federal é apontada como uma possível compradora desse tipo de informação. Em 2015, um vazamento de e-mails da empresa Hacking Team, com sede na Itália, mostrou que a PF contratou um sistema para invasão de celulares. O programa usava vulnerabilidades que ainda não haviam sido divulgadas e, portanto, não estavam no radar dos desenvolvedores dos aplicativos. Esse tipo de falha é conhecida como “dia zero” e tem valor alto no mundo dos hackers.
Com esse sistema, a PF seria capaz de obter informações do celular, grampear áudios e vídeos de conversas e até mesmo fazer ações como ligar a câmera e descobrir a localização do aparelho.
Questionada sobre a veracidade do caso de 2015 e se havia contratado hackers desde os vazamentos do Telegram envolvendo Moro e Dallagnol, a PF disse que os contratos são públicos e que não divulga os métodos de investigação. Desde 2013, a legislação dispensa a licitação para a polícia, em casos de contratação de serviços técnicos especializados destinados ao rastreamento e obtenção de provas.
Vulnerabilidade pode render US$ 1 milhão
Uma das maiores empresas do setor é a americana Zerodium, que funciona como uma intermediária entre hackers e o mercado. Em sua página na internet, a companhia oferece um catálogo de pagamentos para quem encontrar falhas em diversos aplicativos. Uma vulnerabilidade no WhatsApp, por exemplo, pode render US$ 1 milhão. No caso do Telegram, US$ 500 mil. Com as falhas em mãos, a Zerodium pode vender para desenvolvedores, governos ou organizações criminosas.
Quando ainda se chamava Vupen, um vazamento revelou que a Zerodium tinha como clientes a NSA, do setor de inteligência dos Estados Unidos.
João Lucas Melo Brasio é diretor executivo da Elytron Security, empresa com sede em São Paulo que presta serviços de consultoria de segurança da informação. Ele é um dos que descobrem e vendem vulnerabilidades, mas para as próprias empresas que podem ser atacadas pelos hackers.
“É um trabalho muito difícil, e o hacker não sabe se vai conseguir em um dia ou em um ano. É difícil falar para uma pessoa que trabalhou um ano para não vender por R$ 1 milhão”, disse Brasio.
Outra empresa reconhecida no setor é a israelense NSO Group, que ficou famosa ao descobrir uma vulnerabilidade no WhatsApp, conhecida como Pegasus. Assim como o sistema da Hacking Team, o Pegasus permite aos clientes invadir celulares para a obtenção de informações que vão desde mensagens a senhas. Basta convencer o alvo a clicar em um link.
