Uma mulher israelense usa seu iPhone em frente ao prédio que abriga o grupo israelense NSO, em 28 de agosto de 2016, em Herzliya, perto de Tel Aviv. O Grupo NSO foi acusado de facilitar a vigilância de jornalistas através da venda de seu spyware Pegasus. (AFP / Jack Guez)

Orientações de Segurança do CPJ: Jornalistas são alvo do spyware Pegasus

Atualizado em 21 de dezembro de 2020

O Pegasus é um spyware criado para dispositivos móveis que transforma um telefone celular em uma estação de vigilância móvel. Pesquisadores documentaram que é usado para espionar jornalistas. Isso gera implicações significativas para a segurança de jornalistas e de suas fontes.

Em 2018, o Citizen Lab disse ter detectado o Pegasus em mais de 45 países. Segundo o relatório, o Pegasus pode ter sido utilizado contra jornalistas e representantes da sociedade civil no México, Arábia Saudita, Bahrein, Marrocos, Togo, Israel, EUA e Emirados Árabes Unidos.

Enquanto ataques anteriores envolviam iludir os usuários para instalar o spyware em seus dispositivos, clicando nos links incluídos nas mensagens, os ataques mais recentes se concentram no uso de vulnerabilidades em aplicativos ou software no telefone, não exigindo nenhuma interação do usuário, de acordo com relatório da Anistia Internacional de junho de 2020.

Em maio de 2019, foi identificada uma vulnerabilidade no aplicativo de mensagens WhatsApp que, antes de ser corrigida, infectou com spyware alguns dos telefones de seus usuários, incluindo mais de 100 defensores de direitos humanos e jornalistas em pelo menos 20 países, segundo o Citizen Lab. O WhatsApp, que pertence ao Facebook, mais tarde identificou o spyware como Pegasus ou uma variante produzida pelo Grupo NSO, com sede em Israel, que comercializa ferramentas para investigar crimes e terrorismo para órgãos governamentais. (O Grupo NSO disse várias vezes ao CPJ que não comentaria casos individuais, mas investiga relatos de que seus produtos foram mal utilizados em violação a cláusulas contratuais.)

Em junho de 2020, uma investigação da Anistia Internacional descobriu que o telefone de um jornalista marroquino havia sido infectado após o tráfego da Internet ter sido redirecionado para um site malicioso controlado pelos atacantes cibernéticos. Depois que o navegador da Internet do telefone foi conectado ao site, os invasores provavelmente exploraram vulnerabilidades no software para comprometer o dispositivo, segundo o relatório. O documento afirma que esse ataque foi realizado redirecionando o tráfego da Internet para celulares usando uma torre de celular não autorizada, um dispositivo que imita o trabalho de uma torre de celular, ou obtendo acesso ao provedor de celular do alvo.

Em dezembro de 2020, uma extensa investigação do Citizen Lab detectou Pegasus nos iPhones pessoais de 36 jornalistas e executivos de mídia; a maioria trabalhava na Al-Jazeera, mas um jornalista da TV Al-Araby estava entre os alvos. A investigação atribuiu os ataques a agentes do governo, provavelmente da Arábia Saudita e dos Emirados Árabes Unidos, e disse ser provável que apenas uma fração dos alvos tenham sido detectados.

Uma vez no dispositivo, o spyware oferece ao invasor a habilidade de monitorar, registrar e coletar dados existentes e futuros do telefone. Isso inclui telefonemas e informações de aplicativos de mensagens e dados de localização em tempo real. O spyware é capaz de ativar remotamente a câmera e o microfone para vigiar o alvo e seus arredores.

O Pegasus foi projetado para ser instalado em telefones com Androide, BlackBerry OS e iOS sem alertar o alvo sobre sua presença. Os jornalistas provavelmente só vão saber que o telefone foi infectado se o dispositivo for inspecionado por um especialista em tecnologia.

Se você tiver motivos para acreditar que foi alvo de spyware no seu dispositivo:

● Pare imediatamente de usar o dispositivo.

● Coloque o dispositivo em algum lugar que não comprometa você ou suas cercanias.

● Desconecte-se de todas as contas e desvincule-as do dispositivo.

● De um dispositivo diferente, altere todas as senhas da sua conta.

● Procure recomendações especializadas em segurança digital. Se você é um jornalista freelance ou não tem acesso a assistência  técnica, entre em contato com a Helpline [linha de assistência] do Access Now.

● Se for essencial usar o dispositivo antes de substituí-lo, execute uma redefinição de fábrica e certifique-se de que seu sistema operacional, aplicativos e navegadores sejam atualizados para a versão mais recente.

O Pegasus pode ser instalado de várias maneiras. Os jornalistas devem manter-se atualizados sobre esses métodos e tomar as medidas apropriadas para proteger a si mesmos e suas fontes.

Ataque de injeção de rede

Um ataque de injeção de rede não requer nenhuma interação com o usuário; em vez disso, envolve o redirecionamento automático de navegadores ou aplicativos para sites controlados por invasores. Isso também é conhecido como ataque Man in the Middle  [‘homem no meio’, referência ao atacante] (MITM). Uma vez conectado ao site malicioso, os invasores infectam o dispositivo através de vulnerabilidades no software.

É pouco provável que um jornalista saiba se foi alvo desse tipo de ataques por injeção de rede, e proteger-se contra ele pode ser difícil. Para minimizar os riscos, os profissionais de mídia devem usar uma rede virtual privada (VPN) em seus celulares e computadores.

Ao escolher uma VPN, os jornalistas devem considerar o seguinte:

● Verificar a lei com relação ao uso de uma VPN no país em que vivem ou para onde viajam.

● Pesquisar a empresa VPN para garantir que ela não armazene dados sobre os usuários, incluindo o histórico do navegador e os detalhes de logon, pois isso pode ser acessado pelos governos.

● Verificar se o provedor de VPN possui vínculos estreitos com órgãos governamentais ou é de propriedade de governos. Devem escolher um serviço localizado fora do país em que vivem e que tenha um bom histórico de privacidade.

Ataques de dia-zero

Os ataques de dia-zero exploram software vulnerável, não pessoas. Não requerem interação do usuário.

Relatórios do hack do WhatsApp afirmam que o ataque tomou a forma de chamadas de números desconhecidos, resultando na falha do aplicativo. Os números desaparecem da relação de chamadas, não deixando registro informando-a como perdida ou de quem a havia feito.

O relatório do Citizen Lab de dezembro de 2020 descobriu que os invasores implantaram spyware por meio de uma vulnerabilidade no aplicativo iMessenger e não exigiram interação do proprietário do dispositivo. A vulnerabilidade parece ter sido corrigida na atualização do iOS 14.

Proteger-se contra um ataque de dia-zero é difícil. Jornalistas que podem ser alvos de um adversário sofisticado, como um governo, devem considerar comprar  telefones baratos e trocá-los a cada poucos meses como precaução. Atualize regularmente o sistema operacional do seu telefone, além de aplicativos e navegadores. Revise regularmente os aplicativos no seu telefone e exclua os que você não está usando. Se possível, entre em contato com um especialista em segurança digital para obter assistência individual.

Ataques de phishing individualizados

Os invasores criam mensagens personalizadas que são enviadas para um jornalista específico. Essas mensagens transmitem um senso de urgência e contêm um link ou documento no qual o jornalista é incentivado a clicar. As mensagens são fornecidas de várias formas, incluindo SMS, e-mail, por meio de aplicativos de mensagens como o WhatsApp ou via mensagens nas plataformas de mídia social. Quando o jornalista clica no link, o spyware é instalado no telefone.

Pesquisas do Citizen Lab e da Anistia Internacional constataram que as mensagens tendem a assumir as seguintes formas:

● Mensagens alegando ser de uma organização conhecida, como uma embaixada ou uma organização de notícias local.

● Mensagens que advertem sobre uma ameaça imediata à segurança.

● Mensagens sobre algum problema relacionado ao trabalho, como a cobertura de um evento normalmente noticiado pelo jornalista alvo.

● Mensagens que fazem apelos a assuntos pessoais, como os relacionados a fotos comprometedoras de parceiros.

● Mensagens financeiras que fazem referência a compras, cartões de crédito ou detalhes bancários.

As mensagens suspeitas também podem vir de números desconhecidos.

Os invasores podem segmentar telefones pessoais e profissionais. Para se proteger melhor e a suas fontes, os jornalistas devem:

● Verificar o link com o remetente através de um canal de comunicação diferente. De preferência, isso deve ser feito por vídeo ou voz.

● Se o remetente não for conhecido seu, os canais secundários podem não fornecer uma verificação bem-sucedida dos links, pois os canais secundários podem ser configurados pelo adversário como parte de uma elaborada identidade disfarçada.

● Se o link utilizar um serviço de encurtador de URL como TinyURL ou Bitly, insira o link em um serviço de expansão de URL, como o  Link Expander ou URLEX. Se o link expandido parecer suspeito, por exemplo, imitando um site de notícias local, mas não sendo o mesmo, não clique no link.

● Se você precisar abrir o link, não use o dispositivo principal. Abra o link em um dispositivo secundário separado que não possua informações confidenciais ou detalhes de contato e é usado apenas para visualizar links. Realize regularmente uma redefinição de fábrica no dispositivo (lembre-se de que isso pode não remover o spyware). Mantenha o dispositivo secundário desligado, com a bateria removida, quando não estiver em uso.

● Use um navegador que não seja o padrão para o telefone. Acredita-se que o Pegasus tenha como alvo os navegadores-padrão. O navegador-padrão para Androide é o Chrome e o navegador-padrão para iOS é o Safari. Use um navegador alternativo como o Firefox Focus e abra o link nele. No entanto, não há garantia de que a Pegasus não vá atingir, ou não tenha já  alcançado outros navegadores.

Instalação física por um adversário

O Pegasus também pode ser instalado se um adversário obtiver acesso físico ao dispositivo. Para reduzir esse risco:

● Não deixe seu dispositivo sem supervisão e evite entregar seu telefone a outras pessoas.

● Ao cruzar uma fronteira ou ponto de controle, mantenha o seu celular à vista durante todo o tempo. Desligue o telefone antes de chegar ao ponto de controle e tenha uma senha complexa composta por letras e números. Esteja ciente de que, se o telefone for tomado, o dispositivo poderá estar comprometido.

Para obter mais informações para proteger você e suas fontes, consulte o Digital Safety Kit [kit de segurança, com texto em português] do CPJ.

Com agradecimentos ao Citizen Lab pelas  valiosas informações.

[NOTA DO EDITOR: as recomendações sobre ataques de dia-zero foram atualizadas para incluir avanços em segurança.]