Um relatório de spyware explosivo mostra limites da segurança do iOS, Android

41

A Anistia Internacional lança luz alarmante sobre uma ferramenta de vigilância do Grupo NSO.

O mundo sombrio do spyware privado há muito tem causado alarme nos círculos de cibersegurança, já que governos autoritários têm sido repetidamente pegos mirando os smartphones de ativistas, jornalistas e rivais políticos com malware comprado de corretores inescrupulosos. As ferramentas de vigilância que essas empresas fornecem frequentemente visam iOS e Android, que aparentemente não foram capazes de acompanhar a ameaça. Mas um novo relatório sugere que a escala do problema é muito maior do que o temido — e colocou pressão adicional sobre os fabricantes de tecnologia móvel, particularmente a Apple, de pesquisadores de segurança que buscam remédios.

Esta semana, um grupo internacional de pesquisadores e jornalistas da Anistia Internacional, Histórias Proibidas e mais de uma dúzia de outras organizações publicou evidências forenses de que vários governos em todo o mundo — incluindo Hungria, Índia, México, Marrocos, Arábia Saudita e Emirados Árabes Unidos — podem ser clientes do notório fornecedor israelense de spyware NSO Group. Os pesquisadores estudaram uma lista vazada de 50.000 números de telefone associados a ativistas, jornalistas, executivos e políticos que eram alvos potenciais de vigilância. Eles também olharam especificamente para 37 dispositivos infectados, ou alvos do spyware pegasus invasivo da NSO. Eles até criaram uma ferramenta para que você possa verificar se seu iPhone foi comprometido.

O NSO Group chamou a pesquisa de “falsas alegações de um consórcio de meios de comunicação” em uma negação fortemente redigida na terça-feira. Um porta-voz do NSO Group disse: “A lista não é uma lista de alvos da Pegasus ou alvos potenciais. Os números da lista não estão relacionados ao NSO Group de forma alguma. Qualquer alegação de que um nome na lista está necessariamente relacionada a um alvo da Pegasus ou alvo potencial é errônea e falsa.” Na quarta-feira, o NSO Group disse que não responderia mais a perguntas da mídia.

O NSO Group não é o único fornecedor de spyware lá fora, mas tem o perfil mais alto. O WhatsApp processou a empresa em 2019 pelo que alega serem ataques a mais de mil de seus usuários. E o recurso BlastDoor da Apple, introduzido no iOS 14 no início deste ano, foi uma tentativa de cortar “explorações de clique zero”, ataques que não exigem toques ou downloads das vítimas. A proteção parece não ter funcionado tão bem quanto o pretendido; a empresa lançou um patch para iOS para abordar a última rodada de supostos hackers do NSO Group na terça-feira.

Diante do relatório, muitos pesquisadores de segurança dizem que tanto a Apple quanto o Google podem e devem fazer mais para proteger seus usuários contra essas sofisticadas ferramentas de vigilância

“Isso definitivamente mostra desafios em geral com segurança de dispositivos móveis e recursos investigativos nos dias de hoje”, diz o pesquisador independente Cedric Owens. “Também acho que ver infecções por android e iOS com zero clique pela NSO mostra que atacantes motivados e com recursos ainda podem ser bem sucedidos, apesar da quantidade de controle que a Apple aplica aos seus produtos e ecossistema.”

As tensões há muito se agravaram entre a Apple e a comunidade de segurança sobre os limites da capacidade dos pesquisadores de conduzir investigações forenses em dispositivos iOS e implantar ferramentas de monitoramento. Mais acesso ao sistema operacional potencialmente ajudaria a capturar mais ataques em tempo real, permitindo que os pesquisadores obtenham uma compreensão mais profunda de como esses ataques foram construídos em primeiro lugar. Por enquanto, os pesquisadores de segurança contam com um pequeno conjunto de indicadores dentro do iOS, além do jailbreak ocasional. E enquanto o Android é mais aberto pelo design, ele também coloca limites no que é conhecido como “observabilidade”. Combater efetivamente o spyware de alto calibre como a Pegasus, dizem alguns pesquisadores, exigiria coisas como acesso à leitura do sistema de arquivos de um dispositivo, a capacidade de examinar quais processos estão sendo executados, acesso a registros do sistema e outras telemetria.

Muitas críticas se concentraram na Apple nesse sentido, porque a empresa historicamente tem oferecido proteções de segurança mais fortes para seus usuários do que o ecossistema Android fragmentado.

“A verdade é que estamos mantendo a Apple em um padrão mais alto, precisamente porque eles estão fazendo muito melhor”, diz o principal pesquisador de ameaças do SentinelOne, Juan Andres Guerrero-Saade. “O Android é um free-for-all. Acho que ninguém espera que a segurança do Android melhore a um ponto em que tudo o que temos que nos preocupar são ataques direcionados com explorações de zero-day.”

De fato, os pesquisadores da Anistia Internacional dizem que eles realmente tiveram um tempo mais fácil de encontrar e investigar indicadores de compromisso em dispositivos Apple direcionados com malware Pegasus do que naqueles que executam o estoque android.

“Na experiência da Anistia Internacional, há significativamente mais vestígios forenses acessíveis aos investigadores em dispositivos Apple iOS do que em dispositivos Android de estoque, portanto nossa metodologia está focada no primeiro”, escreveu o grupo em uma longa análise técnica de suas descobertas sobre a Pegasus. “Como resultado, os casos mais recentes de infecções confirmadas da Pegasus envolveram iPhones.”

Publicações Relacionadas

Parte do foco na Apple também vem da ênfase da própria empresa em privacidade e segurança em seu design e marketing de produtos.

“A Apple está tentando, mas o problema é que eles não estão se esforçando tanto quanto sua reputação implicaria”, diz matthew Green, criptógrafo da Universidade Johns Hopkins.

Mesmo com sua abordagem mais aberta, porém, o Google enfrenta críticas semelhantes sobre a visibilidade que os pesquisadores de segurança podem entrar em seu sistema operacional móvel.

“Android e iOS têm diferentes tipos de logs. É realmente difícil compará-los”, diz Zuk Avraham, CEO do grupo de análise ZecOps e um defensor de longa data do acesso às informações do sistema móvel. “Cada um tem uma vantagem, mas ambos não são suficientes e permitem que os atores de ameaças se escondam.”

Apple e Google parecem hesitantes em revelar mais da fabricação de salsichas forenses digitais, no entanto. E enquanto a maioria dos pesquisadores independentes de segurança defende a mudança, alguns também reconhecem que o aumento do acesso à telemetria do sistema também ajudaria os maus atores.

“Embora entendamos que registros persistentes seriam mais úteis para usos forenses, como os descritos pelos pesquisadores da Anistia Internacional, eles também seriam úteis para os atacantes”, disse um porta-voz do Google em um comunicado à WIRED. “Equilibramos continuamente essas diferentes necessidades.”

Ivan Krstić, chefe de engenharia e arquitetura de segurança da Apple, disse em um comunicado que “a Apple condena inequivocamente ataques cibernéticos contra jornalistas, ativistas de direitos humanos e outros que buscam fazer do mundo um lugar melhor. Por mais de uma década, a Apple liderou a indústria em inovação em segurança e, como resultado, pesquisadores de segurança concordam que o iPhone é o dispositivo móvel de consumo mais seguro e seguro do mercado. Ataques como os descritos são altamente sofisticados, custam milhões de dólares para se desenvolver, muitas vezes têm uma vida útil curta, e são usados para atingir indivíduos específicos. Embora isso signifique que eles não são uma ameaça para a esmagadora maioria de nossos usuários, continuamos trabalhando incansavelmente para defender todos os nossos clientes, e estamos constantemente adicionando novas proteções para seus dispositivos e dados.”

O truque é encontrar o equilíbrio certo entre oferecer mais indicadores de sistema sem inadvertidamente tornar os trabalhos dos atacantes muito mais fáceis. “Há muito que a Apple poderia estar fazendo de uma maneira muito segura para permitir a observação e a imagem de dispositivos iOS a fim de pegar esse tipo de mau comportamento, mas isso não parece ser tratado como prioridade”, diz o pesquisador de segurança do iOS Will Strafach. “Tenho certeza de que eles têm razões políticas justas para isso, mas é algo com que não concordo e adoraria ver mudanças nesse pensamento.”

Thomas Reed, diretor de mac e plataformas móveis do fabricante de antivírus Malwarebytes, diz que concorda que mais informações sobre o iOS beneficiariam as defesas dos usuários. Mas ele acrescenta que permitir um software de monitoramento especial e confiável traria riscos reais. Ele ressalta que já existem programas suspeitos e potencialmente indesejados no macOS que o antivírus não pode remover totalmente porque o sistema operacional os dota com esse tipo especial de confiança no sistema, potencialmente por engano. O mesmo problema das ferramentas de análise de sistema desonestos quase inevitavelmente surgiria no iOS também.

“Também vemos malware de estado-nação o tempo todo em sistemas de desktop que são descobertos após vários anos de implantação não detectada”, acrescenta Reed. “E isso é em sistemas onde já existem muitas soluções de segurança diferentes disponíveis. Muitos olhos procurando por esse malware é melhor do que poucos. Só me preocupo com o que teríamos que trocar por essa visibilidade.”

O Projeto Pegasus, como o consórcio de pesquisadores chama as novas descobertas, ressalta a realidade de que é improvável que a Apple e o Google resolvam a ameaça representada apenas por fornecedores privados de spyware. A escala e o alcance do potencial alvo da Pegasus indicam que uma proibição global de spyware privado pode ser necessária.

“Uma moratória sobre o comércio de software de intrusão é o mínimo para uma resposta crível — mera triagem”, tuitou o denunciante de vigilância da NSA Edward Snowden na terça-feira em reação às conclusões do Projeto Pegasus. “Qualquer coisa menos e o problema fica pior.”

Na segunda-feira, a Amazon Web Services deu seu próprio passo ao desligar a infraestrutura em nuvem ligada à NSO.

Independentemente do que acontece com o NSO Group em particular, ou com o mercado privado de vigilância em geral, os dispositivos de usuário ainda são, em última análise, onde ataques clandestinos direcionados de qualquer fonte serão realizados. Mesmo que o Google e a Apple não possam resolver o problema sozinhos, eles precisam continuar trabalhando em um caminho melhor.

você pode gostar também