Meio Bit » Software » China usou falha no iOS descoberta em maratona para monitorar minoria Uighur

China usou falha no iOS descoberta em maratona para monitorar minoria Uighur

Evento de cibersegurança organizado pelo governo da China foi usado para identificar e explorar falhas em sistemas, como o iOS

10 semanas atrás

Quando a China em 2018 proibiu seus profissionais de participarem em eventos externos de cibersegurança, sob a alegação de que eles tinham "valor estratégico" que não deveria ser compartilhado, muita gente ficou com a pulga atrás da orelha.

A desconfiança só aumentou quando a Tianfu Cup, uma versão local e fechada dos hackatons realizados em outros países, Brasil incluso, foi estabelecida no mesmo ano.

iPhone XR (Crédito: Ronaldo Gogoni/Meio Bit)

iPhone XR (Crédito: Ronaldo Gogoni/Meio Bit)

A suspeita geral era de que o governo chinês estava bancando o evento para que especialistas encontrassem bugs e vulnerabilidades em SOs móveis ou para desktops, navegadores e outros sistemas, para que fossem usados da maneira que Pequim achasse melhor.

Agora, surgem indícios de que um hack descoberto e corrigido pela Apple em 2019, usado para monitorar a minoria Uighur, foi identificado (e premiado) na primeira Tianfu Cup. A história toda é fascinante, para dizer o mínimo.

De um modo geral, hackatons possuem diversos eventos, focados em mais de um objetivo, como por exemplo, fomentar jam sessions para a criação de softwares em tempo recorde, valendo prêmios e contratos. Há também os focados exclusivamente em cibersegurança, onde o mais famoso é o Pwn2Own, em que a edição mais recente pagou US$ 1,2 milhão em prêmios, com invasões monitoradas e documentadas ao Windows 10, Microsoft Teams, Microsoft Exchange, Ubuntu, Google Chrome, Microsoft Edge, Safari e Parallels.

O objetivo de eventos como o Pwn2Own é incentivar profissionais de segurança a identificarem potenciais falhas em sistemas e serviços, em especial as críticas, para que possam ser corrigidas e mitigadas pelos desenvolvedores. E nada melhor para dar um empurrãozinho motivacional do que dinheiro, muito dinheiro. Hackers e técnicos de diversos países se inscrevem para garantir não só uma bolada, mas também visibilidade para seus produtos e soluções, ou para conseguir um emprego dos sonhos.

O consenso geral é de que hackatons focadas em cibersegurança não devem ser organizadas ou financiadas por órgãos governamentais, por preocupações com a falta de transparência e a possibilidade dessas falhas serem usadas contra as empresas, de diversas formas.

Por isso, muita gente ficou fula nas calças quando em 2017, Zhou Hongyi, CEO da Qihoo 360, uma das maiores e mais importantes empresas de cibersegurança da China, criticou abertamente o Pwn2Own daquele ano, onde uma equipe de sua própria companhia foi a vencedora.

Segundo Zhou, esses eventos seriam focados em "coletar inteligência" de outros países para os Estados Unidos, visto que os eventos locais contavam com poucos ou nenhum profissional local, e eram dominados por estrangeiros. Sob sua visão, o sucesso desses eventos é "imaginário", que "os talentos chineses deveriam permanecer na China", e até mesmo afirmou que "uma vez que as falhas são descobertas, elas não podem mais ser usadas" pois são reportadas às empresas e corrigidas.

O governo chinês acatou a sugestão de Zhou e em 2018, passou a "desencorajar" a participação de seus profissionais de segurança digital em eventos externos. No mesmo ano a local Tianfu Cup foi estabelecida, patrocinada por companhias como Alibaba, Baidu e sem surpresa, Qihoo 360, que vale lembrar, integra a lista negra de exportações dos EUA.

Apple Store em Shenzhen, China (Crédito: Divulgação/Apple)

Apple Store em Shenzhen, China (Crédito: Divulgação/Apple)

A principal diferença entre a Tianfu Cup e outros hackatons de segurança, como o Pwn2Own, é que o primeiro não informa os exploits descobertos em sistemas e serviços às empresas, mas ao invés disso, os repassa para as empresas ligadas diretamente ao governo chinês, que poderão usá-las de diversas formas. Foi o caso do hack do iOS conhecido como "Chaos", que teria sido o projeto vencedor da primeira edição do evento.

Segundo postagem da Apple de setembro de 2019, a vulnerabilidade identificada nos iPhones teria sido implementada para monitor hábitos da comunidade de minoria muçulmana Uighur, que passa por maus bocados na China nos últimos tempos, incluindo denúncias da existência de campos de "reeducação" e trabalhos forçados, inclusive direcionados a manufaturas de empresas como a Apple, em que a hora-homem é ainda mais barata do que a do trabalhador chinês médio.

Agora, um relatório do MIT Technology Review aponta a origem do "Chaos" como sendo a Tianfu Cup, onde seu desenvolvedor foi premiado como vencedor da competição. Segundo a investigação, o governo chinês considerou a brecha como um recurso estratégico e a adquiriu, para poder usá-la posteriormente. Óbvio que a Apple nunca foi informada sobre o bug, e o descobriu e corrigiu dois meses depois do evento, quando já estava sendo usado para espiar uighurs. O Google também identificou o uso do "Chaos" na época.

A bem da verdade, a mudança de comportamento da China em relação a eventos de cibersegurança se deu porque profissionais locais vinham dominando o setor por anos, e a reclamação do CEO da Qihoo 360 teria servido como um "alerta" para Pequim, de que falhas descobertas por hackers chineses poderiam ser usadas contra empresas como Apple, Microsoft, Google e outras, de formas variando entre monitoramento de cidadãos (desejáveis ou não, como os uighurs), espionagem industrial ou atos de ciberterrorismo contra competidores.

O "Chaos" permitia a um atacante fazer o jailbreak remoto de um iPhone nas proximidades, sem que o usuário notasse. A partir dali, o hacker teria acesso irrestrito aos dados e hábitos do dono do aparelho atacado.

De acordo com o informe do MIT, hackers chineses são incentivados em eventos organizados pelo governo a identificarem e explorarem vulnerabilidades "dia zero", que os fabricantes e desenvolvedores de sistemas desconhecem completamente, de modo que elas possam ser usadas até que sejam eventualmente descobertas e corrigidas.

Exemplos não faltam. Em março de 2021, um ataque a servidores do Microsoft Exchange afetou milhares de usuários em todo o mundo, embora o foco estivesse em corporações norte-americanas. Sua origem teria sido rastreada até o grupo hacker chinês Hanium, que teria vínculos diretos com Pequim.

Uma situação semelhante, onde um grupo de hackers teria sido bancado por um governo ou seria um órgão do mesmo, aconteceu em 2019. O ataque SolarWinds comprometeu a comunicação por e-mail dos Departamentos de Justiça, Comércio, Tesouro e Energia dos Estados Unidos, este último responsável pelo arsenal nuclear do país.

O grupo russo APT29, também conhecido como "Cozy Bear", seria o responsável pelo ataque, no que ele seria a divisão cibernética do SVR, o Serviço de Inteligência Estrangeira da Rússia. Os mesmos hackers teriam sido um dos vários a tentar conseguir dados sobre as vacinas da COVID-19, em 2020.

Rússia e China, com a Coreia do Norte vindo logo atrás, seriam em tese os países em que grupos de hackers organizados se concentrariam como parceiros do governo, ou seriam órgãos extraoficiais (ou oficiais mesmo) propriamente ditos, tendo como objetivo identificar falhas em sistemas externos e explorá-las.

Eventos como a Tianfu Cup, organizada por Pequim e bancada por empresas locais, seriam formas de atrair desenvolvedores independentes com um gordo prêmio em dinheiro, de modo que eles possam trabalhar em prol de criar ferramentas invasivas para serem usadas contra empresas fora do País do Meio, ou mesmo outros governos.

Fonte: MIT Technology Review, The Conversation

Leia mais sobre: , , , .

relacionados


Comentários