Uma mulher israelense usa seu iPhone em frente ao prédio que abriga o grupo israelense NSO, em 28 de agosto de 2016, em Herzliya, perto de Tel Aviv. O Grupo NSO foi acusado de facilitar a vigilância de jornalistas através da venda de seu spyware Pegasus. (AFP / Jack Guez)

Orientações de Segurança do CPJ: Jornalistas são alvo do spyware Pegasus

Atualizado em 19 de julho de 2021

O Pegasus é um spyware criado para dispositivos móveis que transforma um telefone celular em uma estação de vigilância móvel. Pesquisadores documentaram que é usado para espionar jornalistas em todo o mundo, e repórteres investigativos identificaram pelo menos 180 jornalistas como possíveis alvos em 2021. Isso gera implicações significativas para a segurança de jornalistas e de suas fontes.

Enquanto ataques anteriores envolviam iludir os usuários para instalar o spyware em seus dispositivos, clicando nos links incluídos nas mensagens, os ataques mais recentes se concentram no uso de vulnerabilidades em aplicativos ou software no telefone, não exigindo nenhuma interação do usuário, de acordo com os relatórios da Anistia Internacional de junho de 2020 e julho de 2021.

Uma vez no dispositivo, o spyware oferece ao invasor a habilidade de monitorar, registrar e coletar dados existentes e futuros do telefone. Isso inclui telefonemas e informações de aplicativos de mensagens e dados de localização em tempo real. O spyware é capaz de ativar remotamente a câmera e o microfone para vigiar o alvo e seus arredores.O Grupo NSO com sede em Israel, que produz a Pegasus, comercializa ferramentas para a investigação de crimes e terrorismo para agências governamentais. (O Grupo NSO disse repetidamente ao CPJ que não comenta casos individuais, mas investiga relatos de que seus produtos foram mal utilizados em violação do contrato).

Orientação para jornalistas e redações

O Pegasus foi projetado para ser instalado em telefones com Androide, BlackBerry OS e iOS sem alertar o alvo sobre sua presença. Os jornalistas provavelmente só vão saber que o telefone foi infectado se o dispositivo for inspecionado por um especialista em tecnologia, de confiança. Os jornalistas que se preocupam podem compartilhar este guia com eles.

Se você tiver motivos para acreditar que foi alvo de spyware no seu dispositivo:

  • Pare imediatamente de usar o dispositivo.
  • Coloque o dispositivo em algum lugar que não comprometa você ou seus arredores.
  • Desconecte-se de todas as contas e desvincule-as do dispositivo.
  • Usando um dispositivo diferente, altere todas as senhas da sua conta.
  • Se for essencial usar o dispositivo antes de substituí-lo, faça um reset de fábrica e assegure-se de que seu sistema operacional, aplicativos e navegadores estejam atualizados com a versão mais recente. Isto não garante que o spyware será removido do dispositivo. Entretanto, a Anistia Internacional observou em julho de 2021 que o Pegasus parece ter sido removido quando os dispositivos foram reinicializados. 
  • O mesmo relatório dizia que 700 nomes de domínio haviam sido usados pelo Pegasus para infectar os dispositivos e recomendava que os veículos de comunicação verificassem a telemetria de sua rede e os registros DNS para esses sites como indicação de que eles podem ter sido alvo do spyware.

Pesquisa de antecedentes

  • Em 2018, a Citizen Lab disse ter detectado o Pegasus em mais de 45 países. Pegasus pode ter sido implantado contra jornalistas e ativistas da sociedade civil no México, Arábia Saudita, Bahrein, Marrocos, Togo, Israel, Estados Unidos e Emirados Árabes Unidos, revelou o relatório.
  • Em maio de 2019, foi identificada uma vulnerabilidade no aplicativo de mensagens WhatsApp que, antes de ser corrigida, infectou alguns dos telefones de seus usuários  com o spyware, incluindo mais de 100 defensores de direitos humanos e jornalistas em pelo menos 20 países, segundo o Citizen Lab. O WhatsApp, que pertence ao Facebook, mais tarde identificou que o spyware era o Pegasus ou uma variante.
  • Em junho de 2020, uma investigação da Anistia Internacional descobriu que o telefone de um jornalista marroquino havia sido infectado após o tráfego da Internet ter sido redirecionado para um site malicioso controlado pelos atacantes cibernéticos. Assim que o navegador da Internet do telefone foi conectado ao site, os invasores provavelmente exploraram vulnerabilidades no software para comprometer o dispositivo, segundo o relatório. O documento afirma que esse ataque foi realizado redirecionando o tráfego da Internet para celulares usando uma torre de celular falsa, um dispositivo que imita o trabalho de uma torre de celular, ou obtendo acesso ao provedor de celular do alvo.
  • Em dezembro de 2020, uma extensa investigação do Citizen Lab detectou Pegasus nos iPhones pessoais de 36 jornalistas e executivos de mídia; a maioria trabalhava na Al-Jazeera, mas um jornalista da TV Al-Araby estava entre os alvos. A investigação atribuiu os ataques a agentes governamentais, provavelmente da Arábia Saudita e dos Emirados Árabes Unidos, e disse ser provável que apenas uma fração dos alvos tenha sido detectada.
  • Em julho de 2021, um consórcio global de veículos de comunicação investigou um documento vazado contendo mais de 50.000 números de telefone de pessoas em todo o mundo que eles disseram parecer ser de interesse de clientes da NSO, incluindo os de mais de 180 jornalistas. A Anistia Internacional em parceria com a Forbidden Stories realizou uma análise forense dos telefones de mais de uma dúzia desses jornalistas e mostrou infecções recentes que afetaram o iPhone 12 versão 14.6.  

Recomendações para diferentes tipos de ataques

O Pegasus pode ser instalado de várias maneiras. Os jornalistas devem manter-se atualizados sobre esses métodos e tomar as medidas apropriadas para proteger a si mesmos e suas fontes.

Ataques de dia-zero

Os ataques de dia-zero, também conhecido como ataques de clique zero, exploram softwares vulneráveis, não pessoas. Não requerem interação do usuário.

  • Relatórios do hack do WhatsApp afirmam que o ataque tomou a forma de chamadas de números desconhecidos, resultando na falha do aplicativo. Os números desaparecem da relação de chamadas, não deixando registro informando-a como perdida ou de quem a havia feito.
  • O relatório do Citizen Lab de dezembro de 2020 descobriu que os invasores implantaram spyware por meio de uma vulnerabilidade no aplicativo iMessenger e sem requerer interação do proprietário do dispositivo. A vulnerabilidade parece ter sido corrigida na atualização do iOS 14.
  • Em julho de 2021, a Anistia Internacional relatou a identificação de traços de tentativas repetidas de infecção através do aplicativo iMessage no iPhone versão 12 14.6. O relatório também sinalizou a preocupação de que outros aplicativos embutidos, como o aplicativo da iTunes Store, poderiam ser vulneráveis a ataques.

Proteger-se contra um ataque de dia zero é difícil. Jornalistas que podem ser alvo de um adversário sofisticado, como um governo, devem:

  • Considerar a possibilidade de trocar telefones econômicos e de baixo custo a cada poucos meses, como precaução.
  • Atualizar o sistema operacional de seu telefone regularmente, bem como aplicativos e navegadores.
  • Rever os aplicativos em seu telefone regularmente e apague os que você não está usando.
  • Se possível, entrar em contato com um especialista em segurança digital para obter suporte individual.

Ataque de injeção de rede

Um ataque de injeção de rede não requer nenhuma interação com o usuário; em vez disso, envolve o redirecionamento automático de navegadores ou aplicativos para sites controlados por invasores. Isso também é conhecido como ataque Man in the Middle  Attack [‘homem no meio do ataque’, referência ao invasor] (MITM). Uma vez conectado ao site malicioso, eles infectam o dispositivo através de vulnerabilidades no software.

É altamente improvável que um jornalista saiba se foi o alvo deste tipo de ataque de injeção de rede e a proteção contra ele pode ser difícil.

Para minimizar o risco:

  • Use uma rede privada virtual (VPN) tanto em telefones celulares quanto em computadores.
  • Verifique a lei com relação ao uso de uma VPN no país onde você vive ou para o qual está viajando.
  • Pesquise a empresa VPN para garantir que ela não armazene dados sobre os usuários, incluindo o histórico do navegador e os detalhes de login, pois isso poderia ser acessado pelos governos.
  • Verifique se o provedor da VPN tem vínculos estreitos com órgãos governamentais ou se é de propriedade dos governos. 
  • Escolha um serviço que esteja localizado fora do país em que você vive e que tenha um bom histórico de privacidade.

Ataques de phishing individualizados

Os invasores criam mensagens personalizadas que são enviadas para um jornalista específico. Essas mensagens transmitem um senso de urgência e contêm um link ou documento no qual o jornalista é incentivado a clicar. As mensagens chegam de várias formas, incluindo SMS, e-mail, por meio de aplicativos de mensagens como o WhatsApp ou via mensagens nas plataformas de mídia social. Quando o jornalista clica no link, o spyware é instalado no telefone.

Pesquisas do Citizen Lab e da Anistia Internacional constataram que as mensagens tendem a assumir as seguintes formas:

  • Mensagens alegando ser de uma organização conhecida, como uma embaixada ou uma organização de notícias local.
  • Mensagens que advertem sobre uma ameaça imediata à segurança.
  • Mensagens sobre algum problema relacionado ao trabalho, como a cobertura de um evento normalmente noticiado pelo jornalista alvo.
  • Mensagens que fazem apelos a assuntos pessoais, como os relacionados a fotos comprometedoras de parceiros.
  • Mensagens financeiras que fazem referência a compras, cartões de crédito ou detalhes bancários.

As mensagens suspeitas também podem vir de números desconhecidos.

Os invasores podem ter como alvo telefones pessoais e profissionais. Para se proteger melhor e a suas fontes, os jornalistas devem:

  • Verificar o link com o remetente através de um canal de comunicação diferente. De preferência, isso deve ser feito por vídeo ou voz.
  • Se o remetente não for previamente conhecido, os canais secundários podem não fornecer uma verificação bem-sucedida dos links, pois tais canais podem ser criados pelo adversário como parte de uma elaborada identidade de cobertura.
  • Se o link utilizar um serviço de encurtador de URL como TinyURL ou Bitly, insira o link em um serviço de expansão de URL, como o  Link Expander ou URLEX. Se o link expandido parecer suspeito, por exemplo, imitando um site de notícias local, mas não sendo o mesmo, não clique no link.
  • Se você precisar abrir o link, não use o dispositivo principal. Abra-o em um dispositivo separado, secundário, que não possua informações confidenciais ou detalhes de contato e que seja usado apenas para visualizar links. Realize regularmente uma redefinição de fábrica no dispositivo (lembre-se de que isso pode não remover o spyware). Mantenha o dispositivo secundário desligado, com a bateria removida, quando não estiver em uso.
  • Use um navegador que não seja o padrão para o telefone. Acredita-se que o Pegasus tenha como alvo os navegadores-padrão. O navegador-padrão para Androide é o Chrome e o navegador-padrão para iOS é o Safari. Use um navegador alternativo como o Firefox Focus e abra o link nele. No entanto, não há garantia de que a Pegasus não vá ou já não tenha atingido outros navegadores.

Instalação física por um adversário

O Pegasus também pode ser instalado se um adversário obtiver acesso físico ao dispositivo. 

Para reduzir esse risco:

  • Não deixe seu dispositivo sem supervisão e evite entregar seu telefone a outras pessoas.
  • Ao cruzar uma fronteira ou ponto de controle, mantenha o seu celular à vista durante todo o tempo. Desligue o telefone antes de chegar ao ponto de controle e tenha uma senha complexa composta por letras e números. Esteja ciente de que, se o telefone for tomado, o dispositivo poderá estar comprometido.

Para obter mais informações para proteger você e suas fontes, consulte o Kit de Segurança Digital do CPJ.

Com agradecimentos ao Citizen Lab pelas valiosas informações.

[NOTA DO EDITOR: as recomendações sobre ataques de dia-zero foram atualizadas para incluir avanços em segurança.]