News · Veredicto do júri favorece WhatsApp contra a NSO Group, e o que o processo revela agora
Veredicto do júri favorece WhatsApp contra a NSO Group, e o que o processo revela agora
Depois de seis anos, o WhatsApp, do Meta, ganhou uma indenização contra a fabricante do Pegasus — e colocou executivos de spyware, e seus métodos de instalação, no registro público.
O que a detecção de 2019 realmente flagrou
O relato do Meta começa com um evento técnico concreto: há seis anos, engenheiros do WhatsApp detectaram e interromperam um ataque que explorava o sistema de chamadas do app para instalar o spyware Pegasus, da NSO. Segundo a publicação, a campanha atingiu mais de mil usuários, incluindo ativistas de direitos humanos, jornalistas, diplomatas e outras pessoas da sociedade civil.
O Meta afirma que trabalhou com o Citizen Lab para investigar o caso e notificar as pessoas que acreditava terem sido alvo, tanto para entender o ataque quanto para ajudar esses usuários a proteger seus dispositivos. Essa combinação — detecção interna, parceiro forense externo, notificação direta às vítimas — é o modelo operacional que sustenta o processo judicial que veio depois.
O veredicto e o dinheiro que ainda não chegou
A novidade aqui é a decisão do júri que obriga a NSO a pagar indenização, que o Meta descreve como a primeira vitória judicial contra spyware ilegal. A empresa é direta ao admitir que ganhar não é a mesma coisa que receber.
Neste caso específico, sabemos que temos um longo caminho até conseguir cobrar da NSO a indenização concedida, e pretendemos fazer isso. No fim das contas, gostaríamos de fazer uma doação a organizações de direitos digitais que trabalham para proteger as pessoas contra esse tipo de ataque no mundo todo.Montana Labs
O Meta também afirma que seu próximo passo é conseguir uma ordem judicial que proíba a NSO de voltar a atacar o WhatsApp — uma medida voltada especificamente ao atacante, separada da indenização financeira.
O que a NSO foi forçada a admitir sobre o Pegasus
O processo trouxe à luz detalhes de um negócio que operava em segredo. Segundo o Meta, a NSO admitiu que o Pegasus consegue coletar "todo tipo de dado do usuário no celular" — dados financeiros e de localização, e-mails, mensagens de texto — e pode ativar remotamente o microfone e a câmera sem o conhecimento ou autorização do usuário.
Duas admissões vão além do WhatsApp. Primeiro, que a NSO gasta dezenas de milhões de dólares por ano desenvolvendo métodos de instalação de malware em apps de mensagens instantâneas, navegadores e sistemas operacionais. Segundo, que seu spyware ainda é capaz de comprometer dispositivos iOS ou Android até hoje. O Meta reforça que fechar a brecha do sistema de chamadas em 2019 não eliminou a ameaça; a superfície de instalação é todo o conjunto do dispositivo.
Publicar os depoimentos como material de pesquisa sobre ameaças
A parte mais reaproveitável desse anúncio não é o veredicto — é a divulgação. O Meta está publicando transcrições não oficiais de vídeos de depoimentos exibidos em audiência pública, incluindo declarações do CEO da NSO, Yaron Shohat, do vice-presidente de P&D, Tamir Gazneli, e de outros executivos, com transcrições oficiais do tribunal a caminho.
Para quem estuda o mercado de vigilância por contratação, isso transforma o resultado do processo em fonte primária de informação. O Meta deixa claro que a divulgação é destinada a pesquisadores e jornalistas que trabalham para proteger o público, e repete seu convite permanente para que pesquisadores de segurança reportem falhas por meio do seu programa de Bug Bounty.
A implicação: a criptografia de ponta a ponta aumentou o valor de comprometer o dispositivo final
O fio condutor da publicação do Meta é que, à medida que a comunicação privada migra para apps com criptografia de ponta a ponta como o WhatsApp e o Signal, os adversários deixam de atacar o canal e passam a atacar o celular. Se a mensagem não pode ser lida em trânsito, o alvo economicamente racional passa a ser o dispositivo onde ela é decodificada — exatamente a capacidade que a NSO admitiu manter em sistemas operacionais, navegadores e clientes de mensagens.
Isso muda a forma de ver a vitória. Uma única indenização e uma ordem judicial limitam um fornecedor; elas não reduzem a superfície de instalação que abrange o software de todo mundo. O próprio Meta reconhece isso — que essa é uma ameaça para todo o setor e que vai exigir o esforço de todos para se defender dela. Para equipes que desenvolvem produtos que lidam com dados sensíveis de usuários, a lição prática do processo é que o comprometimento do dispositivo final é um investimento financiado e contínuo do outro lado, não um problema resolvido.
Find this story relevant to you?
Contact us to find a unique solution
Precisa de um parceiro de engenharia de IA que consiga construir de verdade?
Ajudamos empresas no Brasil a integrar IA, acelerar produtos com IA, automatizar operações e modernizar os sistemas de software por trás do negócio.
Leituras relacionadas
Mais análises sobre entrega de produto, IA operacional e o trabalho de sistemas que faz a implantação se sustentar na prática.