A revelação do WhatsApp, de propriedade do Facebook, de uma falha de segurança que permite que hackers injetem spyware em smartphones, levantou novas preocupações sobre a segurança do ecossistema móvel.

Aqui estão cinco perguntas e respostas principais:

O que aconteceu com o WhatsApp?

A falha de segurança no aplicativo de mensagens WhatsApp pode permitir que um invasor injete malware para obter acesso a smartphones Android ou Apple.

O WhatsApp corrigiu a falha esta semana após ser informado de que o spyware estava sendo usado para rastrear ativistas de direitos humanos e advogados.

Os pesquisadores de segurança acreditam que os invasores usaram o poderoso spyware Pegasus do NSO Group, com sede em Israel. De acordo com uma análise recente do software pela empresa de segurança Lookout, Pegasus pode "subverter" a segurança do dispositivo e "roubar a lista de contatos da vítima e a localização GPS, bem como pessoal, Wi-fi, e senhas do roteador armazenadas no dispositivo. "

A infecção pode se enraizar com uma simples chamada pelo WhatsApp. Para piorar as coisas, as vítimas podem não saber que seus telefones foram infectados porque o malware permitiu que os invasores apagassem o histórico de chamadas.

Este parto foi "particularmente assustador, "disse o pesquisador de segurança John Dickson, do Denim Group, porque infectou dispositivos sem qualquer ação do usuário.

"Normalmente, um usuário precisa clicar em algo ou ir a um site, mas não foi o caso aqui, "Dickson disse." E uma vez (o atacante) entre, eles possuem o dispositivo, eles podem fazer qualquer coisa. "

Quem é o culpado?

Embora a falha tenha sido descoberta no WhatsApp, especialistas em segurança afirmam que qualquer aplicativo poderia ter sido um "veículo" para a carga útil do spyware.

“Ainda não fomos capazes de escrever software que não tivesse bugs ou falhas, "disse Joseph Hall, tecnólogo-chefe do Center for Democracy &Technology, um grupo de direitos digitais.

Hall disse que a criptografia no WhatsApp não foi quebrada e que "a resposta do Facebook foi extremamente rápida".

Marc Lueck, da empresa de segurança Zscaler, disse que, com base na resposta do Facebook, "Você deveria dar-lhes elogios por terem descoberto em primeiro lugar, esta era uma vulnerabilidade muito profunda. "

A intrusão no WhatsApp "não foi um ataque à criptografia, foi um ataque a outro elemento do aplicativo ", disse Lueck.

A criptografia ainda vale a pena?

A criptografia continua sendo um recurso importante ao estabelecer um "túnel" seguro entre duas partes que verifica suas identidades, Lueck notou.

"A criptografia não é importante apenas para a privacidade, é importante para a confiança, " ele disse.

A criptografia usada pelo WhatsApp e outros aplicativos de mensagens evita a escuta de mensagens e conversas, mas não protege contra um ataque que obtenha acesso ao próprio dispositivo, pesquisadores observam.

"A criptografia de ponta a ponta não protege contra ataques ao seu terminal, verdade. E cintos de segurança e airbags não fazem nada para evitar que seu carro seja atingido por um meteorito, "twittou Matt Blaze, um especialista em segurança de computador da Universidade de Georgetown.

"Embora nenhum dos dois proteja contra todos os danos possíveis, ambos continuam sendo as defesas mais eficazes contra danos muito comuns. "

Dickson disse que embora nenhuma criptografia seja infalível, a única maneira de evitar completamente o hacking seria evitar totalmente a eletrônica:"Você poderia usar caras a cavalo".

Devo me preocupar em ser atacado?

Citizen Lab, um centro de pesquisa da Universidade de Toronto, disse em um relatório de 2018 que encontrou infecções por spyware Pegasus em 45 países, com 36 "prováveis ​​operadores governamentais."

A NSO mantém que fornece seu software para fins legítimos de aplicação da lei e inteligência. Mas os pesquisadores de Toronto disseram que ele foi obtido por países com registros "duvidosos" de direitos humanos e sugeriram que pode ter sido usado pela Arábia Saudita para rastrear e matar o jornalista dissidente Jamal Khashoggi.

Pesquisadores do Citizen Lab escreveram no Globe &Mail que "desenterraram pelo menos 25 casos de alvos abusivos de grupos de defesa, advogados, cientistas e pesquisadores, investigadores de desaparecimentos em massa e membros da mídia ".

Mas Lueck disse que programas como o Pegasus são extremamente caros e não podem ser facilmente monetizados por hackers para obter lucro.

"A pessoa comum não é o alvo deste software específico, que é construído para vender aos governos para atingir indivíduos e não funciona em grande escala, " ele disse.

Ainda, Lueck disse que a falha ressalta o fato de que "o ecossistema de telefonia móvel se tornou uma plataforma tão insegura e vulnerável quanto o computador".

Os governos precisam de melhores ferramentas digitais?

As revelações ocorrem no momento em que os governos buscam ferramentas melhores para rastrear criminosos e extremistas usando mensagens criptografadas. Uma lei australiana exige que os gigantes da tecnologia removam as proteções eletrônicas e ajudem no acesso a dispositivos ou serviços.

As agências de aplicação da lei reclamaram de "escurecer" diante das comunicações eletrônicas criptografadas enquanto investigam crimes graves como terrorismo e crimes sexuais infantis.

Mas Hall disse que a notícia sobre a Pegasus mostra que os governos têm ferramentas para explorar falhas de software para alvos específicos, sem enfraquecer a criptografia e a privacidade de todos os usuários.

"Você pode direcionar a entrega para pessoas específicas, em vez de invadir o telefone de todos de uma vez, " ele disse.

© 2019 AFP