Documentos legais divulgados como parte de um embate jurídico em curso entre o WhatsApp da Meta e o NSO Group revelaram que o fornecedor israelense de spyware usou múltiplos exploits visando o aplicativo de mensagens para entregar o Pegasus, incluindo um mesmo após ter sido processado pela Meta por fazer isso.
Eles também mostram que o NSO Group repetidamente encontrou maneiras de instalar a ferramenta de vigilância invasiva nos dispositivos do alvo à medida que o WhatsApp erguia novas defesas para contrapor a ameaça.
Em maio de 2019, o WhatsApp disse ter bloqueado um ciberataque sofisticado que explorava seu sistema de chamadas de vídeo para entregar secretamente o malware Pegasus.
O ataque explorou uma falha de zero-day na época, rastreada como
CVE-2019-3568
(pontuação CVSS: 9.8), um bug crítico de estouro de buffer na funcionalidade de chamada de voz.
Os documentos agora mostram que o NSO Group "desenvolveu ainda outro vetor de instalação (conhecido como Erised) que também usou servidores do WhatsApp para instalar o Pegasus." O vetor de ataque – um exploit de zero-click que poderia comprometer o telefone de uma vítima sem qualquer interação da mesma – foi neutralizado algum tempo após maio de 2020, indicando que foi empregado mesmo depois do WhatsApp ter movido uma ação judicial contra ele em outubro de 2019.
Acredita-se que o Erised seja um dos muitos vetores de malware – coletivamente apelidados de Hummingbird – que o NSO Group concebeu para instalar o Pegasus usando o WhatsApp como um condutor, incluindo aqueles rastreados como Heaven e Eden, este último sendo um codinome para
CVE-2019-3568
e que tinha sido usado para visar cerca de 1.400 dispositivos.
"[O NSO Group admitiu] que desenvolveu esses exploits extraindo e descompilando o código do WhatsApp, fazendo engenharia reversa do WhatsApp, e projetando e utilizando seu próprio 'Servidor de Instalação do WhatsApp' (ou 'WIS') para enviar mensagens malformadas (que um cliente legítimo do WhatsApp não poderia enviar) através dos servidores do WhatsApp e, assim, fazer com que os dispositivos alvo instalassem o agente spyware Pegasus — tudo em violação da lei federal e estadual e da linguagem clara dos Termos de Serviço do WhatsApp", de acordo com os documentos judiciais divulgados.
Especificamente, o Heaven usou mensagens manipuladas para forçar os servidores de sinalização do WhatsApp – que são usados para autenticar o cliente (ou seja, o aplicativo instalado) – a direcionar dispositivos alvo para um servidor de relay de terceiros controlado pelo NSO Group.
Atualizações de segurança do lado do servidor feitas pelo WhatsApp no final de 2018 são ditas terem motivado a empresa a desenvolver um novo exploit – chamado Eden – até fevereiro de 2019 que eliminou a necessidade do próprio servidor de relay do NSO Group em favor de relays operados pelo WhatsApp.
"O NSO se recusou a declarar se desenvolveu mais vetores de Malware baseados no WhatsApp após 10 de maio de 2020," segundo um dos documentos.
O NSO também admite que os vetores de malware foram usados para instalar com sucesso o Pegasus em 'entre centenas e dezenas de milhares' de dispositivos.
Além disso, as petições oferecem uma visão interna de como o Pegasus é instalado no dispositivo de um alvo usando o WhatsApp, e como é o NSO Group, e não o cliente, que opera o spyware, contradizendo afirmações anteriores da empresa israelense.
"O papel dos clientes do NSO é mínimo," afirmam os documentos.
O cliente só precisava inserir o número do dispositivo alvo e 'pressionar Instalar, e o Pegasus instalará o agente no dispositivo remotamente sem qualquer envolvimento.' Em outras palavras, o cliente simplesmente faz um pedido pelos dados do dispositivo alvo, e o NSO controla todos os aspectos do processo de recuperação e entrega de dados através de seu design do Pegasus.
O NSO Group tem repetidamente mantido que seu produto é destinado a ser utilizado para combater crimes sérios e terrorismo.
Também insistiu que seus clientes são responsáveis pela gestão do sistema e têm acesso às inteligências coletadas por ele.
Em setembro de 2024, a Apple moveu uma ação para "dispensar voluntariamente" sua causa contra o NSO Group, citando uma paisagem de risco em mudança que poderia levar à exposição de informações críticas de "inteligência de ameaças" e que "tem o potencial de colocar informações de segurança vitais em risco."
Nos anos intermediários, a fabricante do iPhone adicionou continuamente novas funcionalidades de segurança para dificultar ataques de spyware mercenários.
Dois anos atrás, introduziu o Modo de Segurança como forma de endurecer as defesas do dispositivo reduzindo a funcionalidade em vários aplicativos como FaceTime e Mensagens, bem como bloquear perfis de configuração.
Então, mais cedo nesta semana, surgiram relatos de um novo mecanismo de segurança em versões beta do iOS 18.2 que reinicia automaticamente o telefone se ele não for desbloqueado por 72 horas, exigindo que os usuários, incluindo agências de aplicação da lei que podem ter acesso aos telefones dos suspeitos, reentrem a senha para acessar o dispositivo.
A Magnet Forensics, que oferece uma ferramenta de extração de dados chamada GrayKey, confirmou o recurso de "reinicialização por inatividade", afirmando que o gatilho está "vinculado ao estado de bloqueio do dispositivo" e que "uma vez que um dispositivo entrou em um estado de bloqueio e não foi desbloqueado dentro de 72 horas, ele será reiniciado."
"Devido ao novo temporizador de reinicialização por inatividade, agora é mais imperativo do que nunca que os dispositivos sejam copiados o mais rápido possível para garantir a aquisição dos dados mais disponíveis," acrescentou.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...