Como se defender de ataques de aplicativos espiões, como o Pegasus

Jornais dos Estados Unidos e do Reino Unido relataram, em julho, que dezenas de milhares de pessoas mundo afora podem ter sido vítimas de invasão em seus celulares e de espionagem por agências governamentais. As reportagens basearam-se em informações da Anistia Internacional e da Forbidden Stories, um projeto sem fins lucrativos de defesa do jornalismo. Desde então, muito tem sido falado sobre o Pegasus, programa supostamente utilizado nas ações de monitoramento.

Criado pela empresa israelense NSO Group com o objetivo declarado de detectar ações de cunho terrorista, o Pegasus tem a fama de ser um dos softwares de espionagem mais avançados para smartphones. Aparelhos Android ou iOS (iPhone) estariam sujeitos ao ataque do malware, que não intercepta comunicações. Em vez disso, ele capturaria o que acontece nas telas dos smartphones, sejam mensagens, chamadas ou vídeos. Também apontaria a localização dos usuários, repassando informações de GPS.

Uma reportagem do UOL apontou que o governo brasileiro, antes do estouro das notícias, teria aberto negociações para aquisição do programa espião. Foi o estopim para o interesse pelo assunto aumentar no país, sobretudo entre quem atua com cibersegurança ou gosta do tema. A dúvida mais frequente: há alguma forma de se defender do Pegasus?

Os sistemas Android e iOS já têm uma ferramenta gratuita de segurança, para a checagem de vulnerabilidades ao Pegasus: é o Mobile Verification Toolkit (MVT), disponível no GitHub. “Infelizmente, a verificação não é tão simples”, alerta Fabio Covolo Mazzo, principal software architect da CTC, empresa especializada em soluções e serviços de tecnologia.

A preocupação em se tomar medidas de precaução contra invasões do Pegasus cresceu devido a rumores sobre o desenvolvimento de versões “zero-clique”, em que o programa pode se instalar até mesmo sem qualquer ação do usuário. Isso procede? “Não há como saber”, diz Mazzo. “É importante lembrarmo-nos de que, diferentemente de filmes de Hollywood, o trabalho de um hacker não acontece em minutos. Geralmente envolve grandes equipes e trabalho árduo para identificar zero-day exploits, ou seja, vulnerabilidades ainda não conhecidas do público ou das empresas desenvolvedoras”.

O especialista da CTC ressalta que alguns especialistas de segurança bem intencionados avisam a empresa e disponibilizam um tempo para a correção antes da divulgação. “Vale lembrar, também, que apesar de o Pegasus ser considerado a ferramenta atual mais poderosa para espionagem, ele não é a primeira que utiliza o zero-clique. Em 2019, um ataque desse tipo foi identificado no WhatsApp com ligações através de redes VoIP”, ressalta Mazzo.

Cidadãos comuns, sem ligação com a mídia ou o governo, dificilmente serão alvos em potencial da “xeretice” denunciada pelos veículos de imprensa. Mas e no caso do temor de espionagem industrial? Segundo Mazzo, as empresas podem utilizar sistemas operacionais diferentes do Android e iOS com foco em segurança. “Elas não estarão totalmente livres de ameaças, porém, podem mitigar muito o risco”, diz o perito. Softwares ao alcance para quem deseja resguardar informações são o Secure OS (pago), o GrapheneOS (gratuito e de código livre) e o LineageOS (gratuito e de código livre).

“Em um mundo altamente conectado e com sistemas críticos operando – incluindo sistemas que podem sustentar a vida de pacientes, operar aviões, máquinas pesadas e comunicação –, não estamos, infelizmente, totalmente livres de ataques. É uma corrida entre o desenvolvedor e o criminoso”, comenta Mazzo.