News · Veredito do júri contra a NSO Group a favor do WhatsApp e o que o processo judicial expôs
Veredito do júri contra a NSO Group a favor do WhatsApp e o que o processo judicial expôs
Após seis anos, o WhatsApp, da Meta, obteve uma indemnização por danos contra o fabricante do Pegasus — e colocou executivos de spyware, e os seus métodos de instalação, em registo público.
O que a deteção de 2019 realmente apanhou
O relato da Meta começa com um evento concreto de engenharia: há seis anos, os engenheiros do WhatsApp detetaram e travaram um ataque que explorava o sistema de chamadas da aplicação para instalar o spyware Pegasus, da NSO. Segundo a publicação, a campanha visou mais de mil utilizadores, incluindo ativistas de direitos humanos, jornalistas, diplomatas e outros membros da sociedade civil.
A Meta afirma que trabalhou com o Citizen Lab para investigar o caso e notificar as pessoas que acreditava terem sido visadas, tanto para compreender o ataque como para ajudar essas pessoas a proteger os seus dispositivos. Essa combinação — deteção interna, parceiro forense externo, notificação direta às vítimas — é o modelo operacional subjacente ao processo judicial que se seguiu.
O veredito e o dinheiro que ainda não chegou
A novidade aqui é a decisão de um júri que obriga a NSO a pagar uma indemnização, algo que a Meta apresenta como a primeira vitória judicial contra spyware ilegal. A empresa reconhece abertamente que ganhar não é o mesmo que receber.
Neste caso concreto, sabemos que temos um longo caminho a percorrer até conseguirmos cobrar a indemnização atribuída pela NSO, e é isso que pretendemos fazer. No final, gostaríamos de fazer um donativo a organizações de direitos digitais que trabalham para defender as pessoas contra este tipo de ataques em todo o mundo.Montana Labs
A Meta afirma ainda que o seu próximo passo é obter uma decisão judicial que impeça a NSO de voltar a visar o WhatsApp — uma injunção dirigida especificamente ao atacante, distinta da indemnização monetária.
O que a NSO foi obrigada a admitir sobre o Pegasus
O julgamento revelou detalhes de um negócio que operava em segredo. A Meta relata que a NSO admitiu que o Pegasus consegue recolher "todo o tipo de dados do utilizador no telefone" — dados financeiros e de localização, emails, mensagens de texto — e pode ativar remotamente o microfone e a câmara sem o conhecimento ou autorização do utilizador.
Duas admissões são relevantes além do WhatsApp. Primeiro, que a NSO investe dezenas de milhões de dólares por ano no desenvolvimento de métodos de instalação de malware em aplicações de mensagens instantâneas, browsers e sistemas operativos. Segundo, que o seu spyware continua, até hoje, capaz de comprometer dispositivos iOS ou Android. A Meta sublinha que encerrar o vetor do sistema de chamadas de 2019 não eliminou a ameaça; a superfície de instalação é toda a pilha do dispositivo.
A publicação dos depoimentos como ferramenta de investigação de ameaças
A parte mais reutilizável deste anúncio não é o veredito — é a divulgação. A Meta está a publicar transcrições não oficiais de vídeos de depoimentos apresentados em audiência pública, incluindo declarações do CEO da NSO, Yaron Shohat, do vice-presidente de I&D, Tamir Gazneli, e de outros executivos, com transcrições oficiais do tribunal a serem divulgadas em seguida.
Para quem estuda o mercado de vigilância por encomenda, isto transforma o resultado do litígio em material de fonte primária. A Meta enquadra explicitamente esta divulgação como estando destinada a investigadores e jornalistas que trabalham para proteger o público, e reitera o seu apelo permanente para que os investigadores de segurança reportem falhas através do seu programa Bug Bounty.
A implicação: a encriptação ponto-a-ponto aumentou o valor de comprometer o dispositivo
A ideia central da publicação da Meta é que, à medida que a comunicação privada se transfere para aplicações com encriptação ponto-a-ponto como o WhatsApp e o Signal, os adversários deixam de atacar o canal e passam a atacar o telefone. Se a mensagem não pode ser lida em trânsito, o alvo economicamente racional passa a ser o dispositivo onde é desencriptada — exatamente a capacidade que a NSO admitiu manter em sistemas operativos, browsers e clientes de mensagens.
Isto reenquadra a vitória. Uma única indemnização e injunção decididas por um júri limitam um fornecedor; não reduzem a superfície de instalação que abrange o software de todos. A própria Meta o admite — trata-se de uma ameaça à escala do setor e será preciso o esforço de todos para nos defendermos dela. Para as equipas que desenvolvem produtos que lidam com dados sensíveis de utilizadores, a lição prática deste processo é que o comprometimento do dispositivo é um investimento financiado e contínuo do outro lado, e não um problema resolvido.
Find this story relevant to you?
Contact us to find a unique solution
Precisa de um parceiro de engenharia de IA que saiba executar?
Ajudamos equipas em Portugal a integrar IA em produtos, automatizar processos de alto valor e modernizar os sistemas que suportam o negocio.
Leitura relacionada
Mais análises sobre entrega de produto, AI operacional e o trabalho de sistemas que faz com que a implementação funcione na prática.