Uma mulher israelense usa o iPhone em frente ao prédio que abriga o grupo israelense NSO, em 28 de agosto de 2016, em Herzliya, perto de Tel Aviv. O Grupo NSO foi acusado de facilitar a vigilância de jornalistas através da venda de seu spyware Pegasus. (AFP / Jack Guez)

Orientações de Segurança do CPJ: Jornalistas são alvo do spyware Pegasus

Atualizado em 27 de setembro de 2022

O Pegasus é um spyware criado para dispositivos móveis que transforma um telefone celular em uma estação de vigilância móvel. Pesquisadores documentaram que é usado para espionar jornalistas em todo o mundo. Isso gera implicações significativas para a segurança de jornalistas e de suas fontes.

O Pegasus pode ser inserido em um telefone de várias maneiras detalhadas abaixo. 

Uma vez no dispositivo, o spyware oferece ao invasor a capacidade de monitorar, registrar e coletar dados atuais e futuros do telefone. Isso inclui telefonemas e informações de aplicativos de mensagens e dados de localização em tempo real. O spyware é capaz de ativar remotamente a câmera e o microfone para vigiar o alvo e seus arredores.

O Grupo NSO com sede em Israel, que produz a Pegasus, comercializa ferramentas para a investigação de crimes e terrorismo para agências governamentais. (O Grupo NSO disse repetidamente ao CPJ que não comenta casos individuais, mas investiga relatos de que seus produtos foram mal utilizados em violação do contrato).

Orientação para jornalistas e redações

O Pegasus foi projetado para ser instalado em telefones com os sistemas Android, BlackBerry OS e iOS sem alertar o alvo sobre sua presença. Os jornalistas provavelmente só vão saber que o telefone foi infectado se o dispositivo for inspecionado por um especialista em tecnologia confiável. Os jornalistas que se preocupam podem compartilhar este guia com eles.

Se você tiver motivos para acreditar que foi alvo de spyware no seu dispositivo:

  • Pare imediatamente de usar o dispositivo.
  • Guarde o telefone num lugar onde o microfone e a câmera capte a menor quantidade de sua atividade pessoal, longe do trabalho e de outros lugares onde você passa muito tempo, como o seu quarto.
  • Desconecte-se de todas as contas e desvincule-as do dispositivo.
  • Usando um dispositivo diferente, altere todas as senhas da sua conta.
  • Procure recomendações especializadas em segurança digital. Se você é jornalista freelance ou não tem acesso a assistência técnica, entre em contato com a Access Now Helpline (contato disponível em português)
  • Se for essencial usar o dispositivo antes de substituí-lo, faça um reset de fábrica e assegure-se de que seu sistema operacional, aplicativos e navegadores estejam atualizados com a versão mais recente. Isto não garante que o spyware será removido do dispositivo. Entretanto, a Anistia Internacional observou em julho de 2021 que o Pegasus parece ter sido removido quando os dispositivos foram reiniciados. Se você estiver usando um iPhone iOS 16, habilite o modo de bloqueio.
  • O mesmo relatório dizia que 700 nomes de domínio haviam sido usados pelo Pegasus para infectar os dispositivos e recomendava que os veículos de comunicação verificassem a telemetria de sua rede e os registros DNS para esses sites como indicação de que eles podem ter sido alvo do spyware.
  • O kit de ferramentas de verificação móvel da Anistia para especialistas em tecnologia pode ajudar a confirmar se um dispositivo foi infectado pelo Pegasus.

Defesa de spyware para iOS

O iOS 16 da Apple introduziu o modo de bloqueio, um recurso de segurança para reduzir o número de formas de inserção de spyware em um iPhone, assim como iPads rodando iOS 16 e MacOS Ventura.

O modo lockdown restringe algumas funcionalidades, incluindo chamadas FaceTime de números desconhecidos e o que outros podem compartilhar com você através dos aplicativos iMessage e Photos. 

Jornalistas que acreditam estar em risco de serem alvo Pegasus devem ativar o modo de bloqueio. Para fazer isso:

  • Habilite o modo de bloqueio em configurações de privacidade e segurança.
  • Reinicie seu telefone para ativá-lo.

Recomendações para diferentes tipos de ataques

O Pegasus pode ser instalado de várias maneiras. Os jornalistas devem manter-se atualizados sobre esses métodos e tomar as medidas apropriadas para proteger a si mesmos e suas fontes.

Ataques de dia-zero

Os ataques de dia-zero, também conhecido como ataques de clique zero, exploram softwares vulneráveis, não pessoas. Não requerem interação do usuário.

Proteger-se contra um ataque de dia zero é difícil. Jornalistas que podem ser alvo de um adversário sofisticado, como um governo, devem:  

  • Use um iPhone iOS 16 e ative o modo de bloqueio

Para jornalistas que utilizam outros telefones e sistemas operacionais:

● Faça backup de seu conteúdo regularmente e faça um reset de fábrica do telefone.

  • Considere a possibilidade de trocar telefones econômicos e de baixo custo a cada poucos meses, semanas, ou mesmo dias, dependendo de seu nível de risco. Certifique-se de fazer o reset de fábrica em todos os telefones antes de usá-los, como precaução.
  • Atualize o sistema operacional de seu telefone regularmente, bem como aplicativos e navegadores.
  • Se possível, entre em contato com um especialista em segurança digital para obter suporte individual.

Ataque de injeção de rede

Um ataque de injeção de rede não requer nenhuma interação com o usuário; em vez disso, envolve o redirecionamento automático de navegadores ou aplicativos para sites controlados por invasores. Isso também é conhecido como ataque Man in the Middle Attack (MITM). [‘homem no meio’, em tradução livre, em referência ao atacante que intercepta os dados] Uma vez conectado ao site malicioso, eles infectam o dispositivo através de vulnerabilidades no software.

É altamente improvável que um jornalista saiba se foi o alvo deste tipo de ataque de injeção de rede e a proteção contra ele pode ser difícil.

Para minimizar o risco:

  • Use uma rede privada virtual (VPN) tanto em telefones celulares quanto em computadores.
  • Verifique a lei em relação ao uso de uma VPN no país onde você mora ou para o qual está viajando.
  • Pesquise a empresa VPN para garantir que ela não armazene dados sobre os usuários, incluindo o histórico do navegador e os detalhes de log, pois isso poderia ser acessado pelos governos.
  • Verifique se o provedor da VPN tem vínculos estreitos com órgãos governamentais ou se é de propriedade dos governos. 
  • Escolha um serviço que esteja localizado fora do país em que você mora e que tenha um bom histórico de privacidade.

Ataques de phishing individualizados

Os invasores criam mensagens personalizadas que são enviadas para um jornalista específico. Essas mensagens transmitem um senso de urgência e contêm um link ou documento ao qual o jornalista é incentivado a clicar. As mensagens chegam de várias formas, incluindo SMS, e-mail, por meio de aplicativos de mensagens como o WhatsApp ou via mensagens nas plataformas de mídia social. Quando o jornalista clica no link, o spyware é instalado no telefone.

Pesquisas do Citizen Lab e da Anistia Internacional constataram que as mensagens tendem a assumir as seguintes formas:

  • Mensagens alegando ser de uma organização conhecida, como uma embaixada ou uma organização de notícias local.
  • Mensagens que advertem sobre uma ameaça imediata à segurança.
  • Mensagens sobre algum problema relacionado ao trabalho, como a cobertura de um evento normalmente noticiado pelo jornalista alvo.
  • Mensagens que fazem apelos a assuntos pessoais, como os relacionados a fotos comprometedoras de parceiros.
  • Mensagens financeiras que fazem referência a compras, cartões de crédito ou detalhes bancários.

As mensagens suspeitas também podem vir de números desconhecidos.

Os invasores podem ter como alvo telefones pessoais e profissionais. Para se proteger melhor e a suas fontes, os jornalistas devem:

  • Verificar o link com o remetente através de um canal de comunicação diferente. De preferência, isso deve ser feito por vídeo ou voz.
  • Se o remetente não for previamente conhecido, os canais secundários podem não fornecer uma verificação bem-sucedida dos links, pois tais canais podem ser criados pelo adversário como parte de uma elaborada identidade de cobertura.
  • Se o link utilizar um serviço de encurtador de URL como TinyURL ou Bitly, insira o link em um serviço de expansão de URL, como o  Link Expander ou URLEX. Se o link expandido parecer suspeito, por exemplo, imitando um site de notícias local, mas não sendo bem o mesmo, não clique no link.
  • Se você precisar abrir o link, não use o dispositivo principal. Abra-o em um dispositivo separado, secundário, que não possua informações confidenciais ou detalhes de contato e que seja usado apenas para visualizar links. Realize regularmente um reset de fábrica no dispositivo (lembre-se de que isso pode não remover o spyware). Mantenha o dispositivo secundário desligado, com a bateria removida, quando não estiver em uso.
  • Usar um navegador que não seja o padrão para o telefone. Acredita-se que o Pegasus tenha como alvo os navegadores-padrão. O navegador-padrão para Androide é o Chrome e o navegador-padrão para iOS é o Safari. Use um navegador alternativo como o Firefox Focus e abra o link nele. No entanto, não há garantia de que a Pegasus não vá ou já não tenha atingido outros navegadores.

Instalação física por um adversário

O Pegasus também pode ser instalado se um adversário obtiver acesso físico ao dispositivo. 

Para reduzir esse risco:

  • Não deixe seu dispositivo sem supervisão e evite entregar seu telefone a outras pessoas.
  • Ao cruzar uma fronteira ou ponto de controle, mantenha o seu celular à vista durante todo o tempo. Desligue o telefone antes de chegar ao ponto de controle e tenha uma senha complexa composta por letras e números. Esteja ciente de que, se o telefone for tomado, o dispositivo poderá estar comprometido.

Para obter mais informações para se proteger e as suas fontes, consulte o Kit de Segurança Digital do CPJ. Acompanhe a cobertura de spyware e defesa da CPJ para saber mais sobre o impacto nos jornalistas de sua área.

Com agradecimentos ao Citizen Lab pelas valiosas informações.