Se não atualizou ainda o WhatsApp então está na hora de o fazer. A aplicação de mensagens mais utilizada do mundo sempre acenou com a segurança e privacidade do seu serviço, conseguida através de um complexo sistema de encriptação, mas esta segunda-feira foi forçada a admitir que uma falha na sua aplicação permite que hackers instalem software de vigilância em dispositivos alheios, dando a terceiros acesso aos dados do dispositivo, bem como ao microfone, câmara e às informações de localização. A empresa diz ter resolvido o assunto na sexta-feira e garante que basta atualizar o software para manter a segurança. Fica por esclarecer quantos dispositivos foram de facto afetados e se a atualização retira software maligno já instalado.
A falha em questão afeta tanto telemóveis Android como iPhones e podia ser aproveitada com uma simples chamada para o dispositivo alvo – mesmo que não fosse atendida – e cujo registo depois poderia ser automaticamente apagado. O processo passa por enviar dados excessivos para o alvo através do Voice Over Internet Protocol (VOIP) – sistema que permite fazer chamadas telefónicas através da internet. Esses dados funcionam como código extra, permitindo acesso a algumas funções do dispositivo alvo e reenviando para o atacante a informação desejada.
O WhatsApp assegura que apesar da aplicação ter 1,5 mil milhões de utilizadores, os alvos terão sido “um número seleto” de pessoas, visadas por “um ciberagente avançado”. De acordo com o Financial Times, esse agente será a empresa israelita NSO Group – criada ao abrigo do programa de startups do exército de Israel – e referida frequentemente como um grupo de “traficantes de armas virtuais”, considerados “os piores dos piores” por Edward Snowden, o delator que expôs as sucessivas violações de privacidade das secretas norte-americanas. O Whatsapp esclareceu à BBC que “o ataque tem a assinatura de uma empresa privada que supostamente trabalha com governos para vender software de vigilância” – uma descrição à letra do NSO Group. A empresa garantiu em comunicado que “a tecnologia NSO é licenciada para agências governamentais autorizadas, com o único propósito de combater o crime e o terror”, assegurando que “em nenhuma circunstância a NSO estaria envolvida na utilização ou escolha de alvos da sua tecnologia, que só é utilizada por forças de segurança e serviços secretos”.
Contudo, sucedem-se as acusações de que o NSO Group terá vendido muito do seu software a regimes com registos questionáveis quanto aos direitos humanos – como a Arábia Saudita e os Emirados Árabes Unidos. Estes Governos têm aqui a arma perfeita para desmontar a contestação social – cada vez mais organizada através de aplicativos encriptados como o WhatsApp. “A apropriação das apps permite que os movimentos de resistência tenham uma articulação mais rápida entre o ambiente online (WhatsApp) e o offline (as ruas)”, explicou ao i Sérgio Barbosa, investigador de dinâmicas sociais online do DATACTIVE, da Universidade de Amesterdão. O responsável considera que havendo uma invasão massiva destas aplicações, “a articulação de protestos deixa de ser uma informação privada e passa a ser utilizada por terceiros, colocando em xeque a ação coletiva” – facilitando a repressão governamental.
Sérgio Barbosa afirma que a encriptação do WhatsApp, em 2016, “proporcionou à aplicação uma aura de segurança e confiança”, tornando-se “um espaço mais seguro para ativistas e cidadãos comuns”. Contudo, o investigador nota que vários utilizadores têm optado cada vez mais por utilizar a aplicação russa Telegram, “como resposta ao medo de ser ‘invadido’ por terceiros” – uma tendência que poderá acelerar com a exposição das falhas do WhatsApp.
É de notar que um dos mais conhecidos programas desenvolvidos pelo NSO Group – o Pegasus – funciona de modo semelhante ao softwares encontrados pelo Whatsapp. Aliás, há suspeitas que o Pegasus tenha sido utilizado pela Arábia Saudita para vigiar Jamal Khashoggi – o jornalista brutalmente assassinado na embaixada saudita em Istambul, alegadamente às ordens do príncipe herdeiro, Mohammad bin Salman. Uma das pessoas cujas conversas com Khashoggi terão sido intercetadas, o ativista Omar Abdulaziz, acabaria por processar o NSO Group na justiça israelita, por vender o seu software a regimes ditatoriais – sabendo que o utilizariam para infringir os direitos humanos. “O NSO Group deve ser responsabilizado, de modo a proteger as vidas de dissidentes políticos, jornalistas e ativistas”, disse o advogado de Abdulaziz, Alaa Mahajna. Para além da perseguição a Khashoggi, o Pegasus também terá sido utilizado para vigiar dissidentes sauditas exilados em Londres e no Canadá, segundo o Haaretz. O software também terá sido utilizado contra a Amnistia Internacional, que ainda esta segunda-feira anunciou que vai levar o ministério da Defesa israelita a tribunal, exigindo a revogação das licenças de exportação do NSO Group.
Outro caso de violação de privacidade – que também resultou num processo contra a NSO Group – ocorreu em maio de 2017, no México, após o assassinato do jornalista de investigação Javier Valdez Cárdenas. Dois dos colegas de Cárdenas, Andrés Villarreal e Ismael Bojórquez receberam SMS anónimos de alguém que afirmava ter informações sobre o homicídio do seu colega, com links com a suposta informação. Nenhum deles carregou nos links, por suspeitarem que os sms eram apenas uma tentativa de aceder aos seus telemóveis, uma hipótese confirmada por investigadores, que revelaram que era o Pegasus que estava a ser utilizado, por organizações ligadas ao Governo mexicano, segundo o The New York Times.
“Creio que queriam procurar pistas do homicídio do Javier nas nossas mensagens e conversas, mas somos totalmente contra isto”, disse Bojórquez ao The Times. “Nada obtido ilegalmente deve ser usado numa investigação, especialmente vindo de pessoas que estavam envolvidas professional e emocionalmente com a vítima”. Em novembro de 2018, o organização de direitos humanos e cibersegurança Citizen Lab dava conta de outros 24 casos de pessoas alvo do Pegasus no México. Note-se que o advogado londrino encarregue dos processos contra o NSO Group – tanto dos ativistas sauditas como dos jornalistas mexicanos – é uma das pessoas visadas nesta série de invasões informáticas, segundo as suas declarações ao The New York Times – em que preferiu manter o anonimato, por receio de represálias.
