Google revela que governos usaram falha dia zero no iPhone para espionagem

Big tech publicou resultados de investigação sobre uso de app de espionagem por governos. Três falhas de dia zero foram usadas por spyware

Por Felipe Freitas

há 2 meses

Três falhas de dia zero foram usadas em spyware vendido para governos, revela o Google (Imagem: Vitor Pádua/Tecnoblog)

O Google divulgou nesta terça-feira (6) um relatório sobre espionagem governamental em iPhones. A big tech aponta que, em um dos casos, os países usaram um spyware fornecido pela Variston para explorar três falhas do dia zero. Segundo o Google, empresas privadas são, na atualidade, as donas das principais ferramentas de espionagem do mercado.

A big tech não revela todos os países que realizaram a espionagem — até porque é possível que uma agência esconda os seus rastros. No entanto, o relatório aponta alguns alvos. Por exemplo, em 2023, uma nação usou o spyware da Variston para invadir iPhones na Indonésia. E, obviamente, esses casos podem envolver espionagem interna — geralmente relacionada a um governo com tendências mais autocráticas.

Spywares comerciais são risco para a sociedade

Spyware as a Service/Product é risco para a sociedade (Imagem: Vitor Pádua/Tecnoblog) — Spyware as a Service/Product é risco para a sociedade ao prejudicar democracias e fortalecer ditaduras (Imagem: Vitor Pádua/Tecnoblog)

No artigo resumido, o Google destaca que os fornecedores de spywares comerciais são um risco para os usuários dos seus serviços. Todavia, essa declaração da big tech ignora que essas empresas são um risco para todos, ainda mais para opositores de governos.

Enquanto um país depende de orçamentos e tempo para desenvolver um spyware, comprar ou assinar o programa pronto sai bem mais barato — basicamente um SaaP: Spyware as a Product. Mesmo em uma ditadura, que pode ignorar leis orçamentárias, a combinação de gasto e tempo para finalizar um programa do tipo ou encontrar uma vulnerabilidade pode não compensar.

Nessa corrida, os vendedores de vigilância comercial (CSV, sigla em inglês para comercial surveillance vendors) criam ferramentas altamente práticas. Como o próprio Google explica, os spywares entregam o mapa da mina. O programa roda, caça a falha zero day e entrega até as funcionalidades para organizar os dados coletados.

Protect EA faz "combinado" de spyware para oferecer a governos (Imagem: Reprodução/Tecnoblog)

Em seu relatório, o Google explica que essas empresas desenvolvedoras de spyware até firmam parcerias. Por exemplo, a Protected AE, dos Emirados Árabes Unidos, utiliza a infraestrutura do programa da Variston, que tem sede na Espanha, combinado com o seu próprio spyware para vender para outros países.

O Google afirma que os principais alvos desses programas são opositores de governos, como jornalistas, ativistas, políticos e dissidentes (que moram em outros países). As empresas vendem seus spywares apontando para o uso em ações de antiterrorismo. Porém, é aquilo: o comprador faz o que quer depois que paga pelo produto.

A big tech lista alguns países que usaram o programa desenvolvido pela CSV Intellexa: Armênia, Costa do Marfim, Egito, Espanha, Grécia, Indonésia e Sérvia. No caso do Egito, o Google (e até a Meta) relatara em 2023 que o país usou o spyware para espionar um político de oposição que pretendia concorrer à presidência.

Com informações: TechCrunch