A Anistia Internacional lança luz alarmante sobre uma ferramenta de vigilância do Grupo NSO - e as lacunas nas defesas da Apple e do Google.
Fonte: Wired
Um relatório desta semana indica que o problema de spyware de alto calibre é muito mais disseminado do que se temia anteriormente. FOTOGRAFIA: PAU BARRENA / GETTY IMAGES
O MUNDO SOMBRIO de spyware privado há muito tempo causa alarme nos círculos de segurança cibernética, já que governos autoritários têm sido repetidamente pegos atacando smartphones de ativistas, jornalistas e rivais políticos com malware comprado de corretores inescrupulosos. As ferramentas de vigilância que essas empresas fornecem frequentemente têm como alvo iOS e Android, que aparentemente não conseguiram acompanhar a ameaça. Mas um novo relatório sugere que a escala do problema é muito maior do que se temia - e aumentou a pressão sobre os fabricantes de tecnologia móvel, especialmente a Apple, de pesquisadores de segurança em busca de soluções.
Esta semana, um grupo internacional de pesquisadores e jornalistas da Amnistia Internacional, Forbidden Stories e mais de uma dúzia de outras organizações publicou provas forenses de que vários governos em todo o mundo, incluindo Hungria, Índia, México, Marrocos, Arábia Saudita e Árabe Emirates - podem ser clientes do notório fornecedor israelense de spyware NSO Group. Os pesquisadores estudaram uma lista vazada de 50.000 números de telefone associados a ativistas, jornalistas, executivos e políticos que eram todos alvos de vigilância em potencial. Eles também examinaram especificamente 37 dispositivos infectados ou visados pelo spyware invasivo Pegasus da NSO. Eles até criaram uma ferramenta para que você possa verificar se o seu iPhone foi comprometido.
O Grupo NSO chamou a pesquisa de “falsas alegações por um consórcio de meios de comunicação” em uma negação fortemente formulada na terça-feira. Um porta-voz do Grupo NSO disse: "A lista não é uma lista de alvos Pegasus ou alvos potenciais. Os números na lista não estão relacionados ao Grupo NSO de forma alguma. Qualquer alegação de que um nome na lista está necessariamente relacionado a um alvo Pegasus ou o alvo potencial está errado e falso ”. Na quarta-feira, o Grupo NSO disse que não responderia mais às perguntas da mídia.
O NSO Group não é o único fornecedor de spyware, mas tem o perfil mais alto. O WhatsApp processou a empresa em 2019 pelo que ela afirma serem ataques a mais de mil de seus usuários. E o recurso BlastDoor da Apple, apresentado no iOS 14 no início deste ano, foi uma tentativa de cortar as “explorações de clique zero”, ataques que não exigem toques ou downloads das vítimas. A proteção parece não ter funcionado tão bem quanto o pretendido; a empresa lançou um patch para iOS para resolver a última rodada de supostos hackers do Grupo NSO na terça-feira.
Diante do relatório, muitos pesquisadores de segurança dizem que tanto a Apple quanto o Google podem e devem fazer mais para proteger seus usuários contra essas ferramentas sofisticadas de vigilância.
“Isso definitivamente mostra desafios em geral com a segurança de dispositivos móveis e recursos de investigação nos dias de hoje”, diz o pesquisador independente Cedric Owens. “Eu também acho que ver infecções de clique zero em Android e iOS por NSO mostra que invasores motivados e com recursos ainda podem ter sucesso, apesar a quantidade de controle que a Apple aplica a seus produtos e ecossistema. "
“A Apple está tentando, mas o problema é que eles não estão se esforçando tanto quanto sua reputação sugere”.
MATTHEW GREEN, UNIVERSIDADE JOHNS HOPKINS
Há muito tempo há tensões entre a Apple e a comunidade de segurança sobre os limites da capacidade dos pesquisadores de conduzir investigações forenses em dispositivos iOS e implantar ferramentas de monitoramento. Mais acesso ao sistema operacional potencialmente ajudaria a capturar mais ataques em tempo real, permitindo aos pesquisadores obter uma compreensão mais profunda de como esses ataques foram construídos em primeiro lugar. Por enquanto, os pesquisadores de segurança contam com um pequeno conjunto de indicadores no iOS, além do jailbreak ocasional. E embora o Android seja mais aberto por design, ele também impõe limites ao que é conhecido como "observabilidade". O combate eficaz a spyware de alto calibre como o Pegasus, dizem alguns pesquisadores, exigiria coisas como acesso para ler o sistema de arquivos de um dispositivo, a capacidade de examinar quais processos estão em execução, acesso a logs do sistema e outras telemetrias.
Muitas críticas se concentraram na Apple a esse respeito, porque a empresa historicamente ofereceu proteções de segurança mais fortes para seus usuários do que o fragmentado ecossistema Android.
“A verdade é que estamos mantendo a Apple em um padrão mais alto precisamente porque eles estão se saindo muito melhor”, disse o principal pesquisador de ameaças do SentinelOne, Juan Andres Guerrero-Saade. “O Android é gratuito para todos. Acho que ninguém espera que a segurança do Android melhore a ponto de nos preocuparmos apenas com ataques direcionados com exploits de dia zero. ”
Na verdade, os pesquisadores da Anistia Internacional dizem que tiveram mais facilidade em encontrar e investigar indicadores de comprometimento em dispositivos Apple direcionados com malware Pegasus do que naqueles que executam o Android padrão.
“Na experiência da Amnistia Internacional, existem significativamente mais vestígios forenses acessíveis aos investigadores em dispositivos Apple iOS do que em dispositivos Android de stock, portanto, a nossa metodologia centra-se no primeiro", escreveu o grupo numa longa análise técnica das suas descobertas no Pegasus. como resultado, os casos mais recentes de infecções confirmadas por Pegasus envolveram iPhones. ”
Parte do foco na Apple também se origina da ênfase da própria empresa na privacidade e segurança em seu design e marketing de produto.
“A Apple está tentando, mas o problema é que eles não estão se esforçando tanto quanto sua reputação sugere”, diz o criptógrafo da Universidade Johns Hopkins, Matthew Green.
Mesmo com sua abordagem mais aberta, no entanto, o Google enfrenta críticas semelhantes sobre a visibilidade que os pesquisadores de segurança podem ter em seu sistema operacional móvel.
“Android e iOS têm diferentes tipos de registros. É realmente difícil compará-los ”, diz Zuk Avraham, CEO do grupo de análise ZecOps e um defensor de longa data do acesso às informações do sistema móvel. “Cada um tem uma vantagem, mas ambos são igualmente insuficientes e permitem que os agentes da ameaça se escondam”.
No entanto, a Apple e o Google parecem hesitantes em revelar mais sobre a fabricação forense de linguiça digital. E embora a maioria dos pesquisadores de segurança independentes defenda a mudança, alguns também reconhecem que o aumento do acesso à telemetria do sistema também ajudaria os malfeitores.
"Embora entendamos que os registros persistentes seriam mais úteis para usos forenses, como os descritos pelos pesquisadores da Anistia Internacional, eles também seriam úteis para os invasores", disse um porta-voz do Google em um comunicado à WIRED. "Nós continuamente equilibramos essas diferentes necessidades . ”
Ivan Krstić, chefe de engenharia e arquitetura de segurança da Apple, disse em um comunicado que “a Apple condena inequivocamente os ataques cibernéticos contra jornalistas, ativistas de direitos humanos e outros que buscam tornar o mundo um lugar melhor. Por mais de uma década, a Apple liderou a indústria em inovação de segurança e, como resultado, os pesquisadores de segurança concordam que o iPhone é o dispositivo móvel de consumidor mais seguro do mercado. Ataques como os descritos são altamente sofisticados, custam milhões de dólares para desenvolver, geralmente têm uma vida útil curta e são usados para atingir indivíduos específicos. Embora isso signifique que eles não são uma ameaça para a esmagadora maioria de nossos usuários, continuamos a trabalhar incansavelmente para defender todos os nossos clientes e estamos constantemente adicionando novas proteções para seus dispositivos e dados ”.
O truque é encontrar o equilíbrio certo entre oferecer mais indicadores do sistema sem, inadvertidamente, tornar o trabalho dos invasores muito mais fácil. “Há muito que a Apple poderia estar fazendo de uma maneira muito segura para permitir a observação e imagem de dispositivos iOS a fim de detectar esse tipo de mau comportamento, mas isso não parece ser tratado como uma prioridade”, diz o pesquisador de segurança do iOS Will Strafach. “Tenho certeza de que eles têm razões políticas justas para isso, mas não concordo e adoraria ver mudanças nesse pensamento”.
Thomas Reed, diretor de plataformas móveis e Mac da fabricante de antivírus Malwarebytes, diz que concorda que mais informações sobre o iOS beneficiariam as defesas do usuário. Mas ele acrescenta que permitir software de monitoramento especial e confiável traz riscos reais. Ele ressalta que já existem programas suspeitos e potencialmente indesejados no macOS que o antivírus não pode remover totalmente porque o sistema operacional os confere com esse tipo especial de confiança de sistema, potencialmente em erro. O mesmo problema de ferramentas de análise de sistema desonestas quase inevitavelmente surgiria no iOS também.
“Também vemos malware de estado nacional o tempo todo em sistemas de desktop que são descobertos após vários anos de implantação não detectada”, acrescenta Reed. “E isso em sistemas onde já existem muitas soluções de segurança diferentes disponíveis. Muitos olhos procurando por esse malware estão melhor do que poucos. Eu só me preocupo com o que teríamos que trocar por essa visibilidade. "
O Projeto Pegasus, como o consórcio de pesquisadores chama as novas descobertas, destaca a realidade de que a Apple e o Google provavelmente não resolverão a ameaça representada por fornecedores privados de spyware. A escala e o alcance do potencial direcionamento do Pegasus indicam que uma proibição global de spyware privado pode ser necessária.
“Uma moratória sobre o comércio de software de intrusão é o mínimo necessário para uma resposta confiável - mera triagem”, tuitou o denunciante de vigilância da NSA Edward Snowden na terça-feira em reação às descobertas do Projeto Pegasus. “Qualquer coisa a menos e o problema piorará.”
Na segunda-feira, a Amazon Web Services deu seu próprio passo ao encerrar a infraestrutura em nuvem vinculada ao NSO.
Independentemente do que aconteça com o Grupo NSO em particular, ou com o mercado de vigilância privada em geral, os dispositivos do usuário ainda são, em última análise, o local onde os ataques direcionados clandestinos de qualquer origem ocorrerão. Mesmo que não se possa esperar que o Google e a Apple resolvam o problema sozinhos, eles precisam continuar trabalhando em uma maneira melhor de avançar.
Comments