Pegasus: como conter app espião usado contra presidente da SaferNet?
O programa espião Pegasus voltou a virar notícia nesta semana após o fundador e presidente da Safernet Brasil, Thiago Tavares, descobrir que seu computador havia sido infectado com ele. Diante do caso e de ameaças sofridas, ele decidiu exilar-se voluntariamente na Alemanha. A ação, considerada inédita no Brasil, segundo especialistas do setor, deixou ativistas de direitos humanos com medo.
Um levantamento feito pela Anistia Internacional descobriu que a ferramenta, criada pela empresa NSO Group, foi utilizada para interceptar ao menos 180 jornalistas, 600 políticos, 85 ativistas dos direitos humanos e 65 empresários. O uso indevido do Pegasus levanta várias questões. Uma das mais importantes é: uma vez que o estrago já está sendo feito, como ele pode ser contido?
"Podemos dizer que o Pegasus é uma arma informática que deve ser banida pelo direito internacional", afirma Marina Meira, coordenadora geral de projetos da Associação Data Privacy Brasil, que atua na proteção dos direitos humanos na rede.
Segundo a especialista, ações de diferentes países mostram que o cerco ao funcionamento do programa tem crescido. E importante que isso continue para contê-lo. Nesse sentido, ela dá o exemplo de uma decisão do Departamento de Comércio dos Estados Unidos que colocou a empresa NSO, em novembro, em sua "lista vermelha", o que inclui proibir negociações comerciais por parte de companhias norte-americanas.
Por que o uso do Pegasus é tão perigoso?
O software permite rastrear em segredo as atividades da pessoa que teve o aparelho infectado, como ler mensagens, ver fotos, saber a localização e ter informações de acesso a contas bancárias, redes sociais e email. E ainda ativar remotamente o microfone do celular espionado para ouvir ligações e tirar fotos com a câmera, sem que a pessoa saiba.
Originalmente, sua fabricante diz ter criado a tecnologia para combater o terrorismo e outros delitos. Em tese, somente governos poderiam adquirir o programa. Mas o que se tem visto até aqui é que ele tem sido usado há alguns anos para o monitoramento de inimigos políticos, como ativistas dos direitos humanos, jornalistas e advogados.
O agravante é que o Pegasus faz tudo isso sem a necessidade de que o dono do aparelho execute alguma ação ou acesse determinado link malicioso, numa estratégia conhecida como "zero clique".
De acordo com Hiago Kin, presidente da Abraseci (Associação Brasileira de Segurança Cibernética), o potencial de estrago do Pegasus é sem precedentes exatamente por essa forma de agir.
O programa explora uma série de falhas e brechas de segurança dos sistemas operacionais de aparelhos como celulares e computadores —Apple e Google, por exemplo, já corrigiram problemas de softwares e chegaram a processar a NSO Group pelos danos causados. Em 2019, o Facebook também entrou com uma ação contra a empresa pelo uso do WhatsApp para realizar espionagem cibernética.
"Ele não trabalha atuando sobre permissões concedidas a aplicativos, e burladas a partir daí por um malware, mas sim sobre o sistema operacional, e opera os aparelhos com total permissão de acesso a todos os aplicativos, independentemente do nível de segurança dos apps", afirma Kin. "É como se um 'super usuário' tivesse controle sobre o aparelho."
Para a coordenadora da Data Privacy Brasil, há uma clara violação dos direitos fundamentais à privacidade e à proteção de dados com o uso do programa.
"A partir do momento que se torna uma ferramenta de potencial vigilância, tendo como principais alvos jornalistas, ativistas, defensores dos direitos humanos e opositores de regimes, o Pegasus pode ser um grande repressor da liberdade de expressão, de imprensa, de associação e reunião", ressalta.
O sociólogo especialista em políticas públicas e inclusão digital Sérgio Amadeu, professor da UFABC (Universidade Federal do ABC), acredita que há um risco do software estar sendo usado ilegalmente por milícias ou grupos criminosos, já que a fabricante NSO só poderia vender a ferramenta para governos.
E como fica o Brasil diante disso?
Ao que tudo indica, o caso do presidente da SaferNet é o primeiro oficialmente divulgado envolvendo a ação do Pegasus. A organização ainda avalia os desdobramentos a partir da descoberta, mas ela informou que não irá comentar o ocorrido.
No caso do Brasil, dispositivos de pessoas só podem ser vigiados com autorização da justiça, dentro de uma investigação. Mas não existe uma legislação específica que regule as possibilidades de uso de tecnologias de vigilância.
Contudo, para Meira, a Constituição Federal contemplaria a proibição de uso de um programa de monitoramento indevido de pessoas. O que poderia ser usado como argumento de proteção em um eventual processo contra a empresa.
Ela acrescenta que o software violaria também regras de sigilo e privacidade previstas pela LGPD (Lei Geral de Proteção de Dados) e a de direitos autorais e patentes dos fabricantes, com a Lei de Propriedade Industrial (LPI 9279/96).
Já Paulo Rená, professor de direito, inovação e tecnologia no CEUB (Centro Universitario de Brasília), considera que o país está um cenário de "bastante insegurança". O professor não acredita em uma solução rápida para conter os riscos de programas como o Pegasus —nem no Brasil e nem em nível internacional.
Para ele, existe o risco de que o uso indevido de programas de vigilância — como o Pegasus ou outros sistemas — continue a partir do crescimento da comercialização dos mesmos no mercado ilícito.
"O debate da LGPD Penal está parado. Teve uma comissão jurídica com uma série de pessoas muito competentes que atuaram, se dedicaram, produziram em texto, que agora está parado. Esse texto diria os limites de como o Estado pode agir para investigar as pessoas sem violar os direitos de quem não têm nenhum motivo para serem investigadas", diz Rená, que também é pesquisador da UnB (Universidade de Brasília) e do AqualtuneLab, coletivo jurídico que atua dentro das áreas do direito, tecnologia e raça.
Segundo Rená, a contenção do problema deve passar pela defesa mais firme dos países em relação aos direitos humanos, o que, atualmente, não parece ser o caso. "Acho que a solução em algum momento vai passar pelo Estado, mas no médio prazo. Nos próximos seis meses, eu não vejo nada que possa ser feito mais efetivamente pelo poder público", avalia.
Hiago Kin também considera o problema um grande desafio. Como o Pegasus é um mecanismo que explora as vulnerabilidades dos sistemas operacionais, ele não acredita que o software possa ser contido só por leis. O caminho seria os fabricantes eliminarem os gargalos e falhas em seus produtos.
No caso envolvendo o presidente da SaferNet, o que pode acontecer, segundo Rafael Zanatta, diretor da Data Privacy Brasil, é o MPF (Ministério Publico Federal) abrir uma ação civil pública para interromper o fluxo de dados para servidores do Pegasus.
Em outros países, fala-se em um tratado internacional de banimento do software, "que está sendo considerado uma arma nuclear, uma tecnologia profundamente catastrófica", destacou Zanatta, em entrevista a Tilt mais cedo.
Estados Unidos e União Europeia já manifestaram posicionamentos favoráveis à proibição ou, no mínimo, recomendam uma regulamentação.
Como se proteger?
Por ser um sistema que se infiltra silenciosamente nos dispositivos dos usuários, o Pegasus é difícil de ser evitado. Uma vez que o aparelho esteja comprometido, não há o que fazer, segundo os especialistas.
"Quando se é alvo de uma ferramenta dessas não há nada o que fazer, pois elas são projetadas partindo de três premissas: não depender do usuário ou administrador [do sistema] para atuarem; serem indetectáveis; e não dar condições de remoção, contra defesa ou contra ataques", afirma Kin.
Daniel Barbosa, especialista em segurança da Eset, explica, no entanto, que é possível tomar algumas medidas preventivas. A principal é manter os sistemas operacionais do celular iPhone, Android e dos computadores atualizados.
O uso de sistemas de proteção, como antivírus, também são recomendados na tentativa de aumentar a segurança dos aparelhos. "Isso ajuda a detectar e a barrar caso algum tipo de tentativa de exploração de vulnerabilidade [do sistema] aconteça."
*Colaborou Lucas Carvalho, de Tilt.
ID: {{comments.info.id}}
URL: {{comments.info.url}}
Ocorreu um erro ao carregar os comentários.
Por favor, tente novamente mais tarde.
{{comments.total}} Comentário
{{comments.total}} Comentários
Seja o primeiro a comentar
Essa discussão está encerrada
Não é possivel enviar novos comentários.
Essa área é exclusiva para você, assinante, ler e comentar.
Só assinantes do UOL podem comentar
Ainda não é assinante? Assine já.
Se você já é assinante do UOL, faça seu login.
O autor da mensagem, e não o UOL, é o responsável pelo comentário. Reserve um tempo para ler as Regras de Uso para comentários.