O WhatsApp entrou com um processo na corte distrital do norte da Califórnia. O alvo do processo é a empresa de segurança israelense NSO. Segundo o WhatsApp, a NSO desenvolveu e usou um malware chamado “Pegasus” para infectar centenas de smartphones em diferentes países. A partir da infecção, os aparelhos podiam ser completamente controlados pelos invasores, que também podiam ouvir ligações, ter acesso a fotos, mensagens de voz e mensagens de texto. O mais grave é que para que a invasão acontecesse, bastava que o telefone do alvo recebesse uma chamada de voz ou de vídeo no WhatsApp. A vítima sequer precisava atender a chamada para ter seu aparelho comprometido. A tecnologia super sofisticada da NSO teria sido contratada por governos de diferentes países para controlar e monitorar opositores dos regimes.

Envolvimento de governos

Segundo o processo impetrado pelo WhatsApp, o malware criado pela NSO foi empregado em cerca de 45 países e, em pelo menos 10, foi usado para ações de monitoramento e vigilância além das fronteiras. A ação cita nominalmente o México, o Cazaquistão, o Bahrein, o Marrocos, os Emirados Árabes Unidos e a Arábia Saudita.

Vários outros processos já foram registrados em Israel contra a NSO e sua empresa controladora, a Q Cyber Technologies – mas todos eles, até agora, tinham como reclamantes pessoas físicas que afirmavam que seus telefones haviam sido infectados pelo código malicioso criado pela companhia. A ação do WhatsApp é um marco por se tratar da primeira vez que uma empresa de tecnologia decide ir à justiça contra uma outra companhia por atitudes de espionagem e por desrespeito aos termos de uso do serviço.

E a criptografia ponta a ponta?

As mensagens enviadas por meio do WhatsApp e outros mensageiros eletrônicos são protegidas pelo que se convencionou chamar de criptografia ponta a ponta. Por ela, a mensagem é cifrada no momente em que é transmitida, e só pode ser descriptografada pelos aparelhos receptores. Nem mesmo o WhatsApp ou outras empresas similares conseguem, teoricamente, ter acesso aos conteúdos. Porém, o que o Pegasus – o malware da NSO – faz é se instalar no aparelho da vítima, tendo a acesso a todo e qualquer tipo de informação que está presente nele. Ou seja, ele consegue ler e ouvir a mensagens nos próprios dispositivos, escapando da criptografia do serviço. Neste caso, o WhatsApp foi usado pela NSO como agente propagador. A empresa identificou uma brecha de segurança no sistema e se aproveitou dela para usar o WhatsApp como veículo para seu código malicioso. 

Em maio deste ano (2019), o WhatsApp anunciou que havia alertado 1.400 usuários em diferentes partes do mundo que eles poderiam ter sido vítimas do Pegasus. De lá para cá, a empresa diz que corrigiu a brecha de segurança que permitia a propagação do malware.

Uma indústria sombria, pelo menos uma vítima fatal conhecida

Desde que as denúncias de Edward Snowden vieram à tona, jogando luz sobre os mecanismos de vigilância da NSA – National Security Agency norte-americana – a criptografia se tornou uma tecnologia presente em praticamente todos os serviços de mensagens. Porém, a consequência direta disso foi o surgimento de um imenso e altamente lucrativo mercado de empresas de altíssima tecnologia, que se especializaram em maneiras de contornar esses sistemas. A NSO é apenas a mais visível delas, mas há um verdadeiro rol de outras empresas que se dedicam ao mesmo fim. Em geral, quem as contrata são governos que optam por agir à margem da lei contra seus próprios cidadãos ou cidadãos de outras nações, para atender interesses obscuros. 

O caso mais famoso envolvendo o Pegasus, um governo autoritário e um assassinato é o do jornalista Jamal Khashoggi, que foi morto dentro da embaixada da Arábia Saudita, na Turquia. Jamal Khashoggi era um dissidente e um crítico contumaz do regime saudita. Um de seus amigos mais próximos, Omar Abdulazis, alega num processo que o smartphone de Jamal Khashoggi havia sido infectado com o Pegasus, o que permitiu ao governo saudita seguir seus movimentos. 

A NSO nega as acusões do WhatsApp e diz que seu malware foi criado e usado para combater o terrorismo – e que qualquer uso diferente desse vai contra os termos de uso de sua criação.

A partir do processo histórico aberto pelo WhatsApp, espera-se que a comunidade internacional possa jogar um pouco mais de luz sobre a obscura indústria de empresas de tecnologia que se dedicam a invadir a privacidade dos usuários. Atualmente, boa parte dessa empresas se encontra em Israel.