Decisão Pegasus dos EUA

US Pegasus Ruling: A Reminder of India’s Stalled Probe

Um tribunal dos EUA considerou o fabricante israelense de software espião NSO Group como responsável pela utilização do WhatsApp para se infiltrar ilegalmente nos telemóveis de milhares de pessoas com o seu software Pegasus – um software espião de nível militar. Numa decisão histórica, o Tribunal Distrital dos EUA no norte da Califórnia considerou o NSO Group responsável por violar leis estaduais e federais sobre pirataria informática, como a Lei de Fraude e Abuso de Computadores dos EUA. A decisão surge cinco anos depois de a Meta, a empresa-mãe do WhatsApp, ter apresentado um processo em que acusava o Grupo NSO de explorar uma vulnerabilidade nas chamadas áudio da sua plataforma de mensagens para instalar o spyware Pegasus nos telemóveis de utilizadores desprevenidos. De acordo com o WhatsApp, o malware visava milhares de defensores dos direitos humanos, jornalistas e outros membros da sociedade civil, bem como funcionários do governo e diplomatas. Na sua decisão, a juíza observou que o Grupo NSO não contestou as alegações de que tinha feito “engenharia reversa e/ou descompilação do software WhatsApp” para instalar o seu spyware Pegasus nos dispositivos afetados.

O uso do Pegasus para invadir dispositivos móveis veio à tona pela primeira vez em 2019, quando foi relatado que o spyware usou vulnerabilidades no software WhatsApp para atingir 1400 indivíduos em todo o mundo, incluindo 140 indianos. Em 2021, 17 organizações noticiosas de todo o mundo, incluindo a The Wire da Índia, juntamente com duas ONG – a Amnistia Internacional e a Forbidden Stories – informaram que tinham passado meses a examinar uma lista de 50 mil números de telefone de cerca de 50 países, incluindo 1000 números da Índia, cujos telefones poderiam ter sido potencialmente pirateados utilizando o Pegasus. Depois, examinaram de modo judicail (forensically) os telemóveis de algumas das pessoas que se dispuseram a testar os seus telefones. Os resultados mostraram que 85% dos telemóveis testados foram pirateados pelo spyware Pegasus.

Os possíveis alvos incluíam jornalistas, ativistas, membros da sociedade civil, bem como funcionários governamentais e diplomatas de todo o mundo. Entre eles, catorze chefes de Estado e de governo: três presidentes – o francês Emmanuel Macron, o iraquiano Barham Salih e o sul-africano Cyril Ramaphosa –, três primeiros-ministros em funções e sete ex-primeiros-ministros, e um rei, o marroquino Mohammed VI. Os três primeiros-ministros em funções são o paquistanês Imran Khan, o egípcio Mostafa Madbouly e o marroquino Saad-Eddine El Othmani. Entre os sete ex-primeiros-ministros contam-se Saad Hariri, do Líbano, Édouard Philippe, de França, Noureddine Bedoui, da Argélia, e Charles Michel, da Bélgica.

A investigação revelou que cerca de 300 telemóveis na Índia foram pirateados. Entre estes, contavam-se os telefones de Rahul Gandhi e do líder do TMC, Abhishek Banerjee, do então Vice-Ministro-Chefe de Karnataka, G Parameshwara, e dos secretários pessoais de Siddaramaiah e do então Ministro-Chefe de Karnataka, H. D. Kumaraswamy; de dois ministros do Governo da União; de 40 jornalistas, de um membro da Comissão Eleitoral, Ashok Lavasa, e de vários ativistas dos direitos humanos e estudantes, de um dirigente sindical dos caminhos-de-ferro, etc.

O QUE É PEGASUS E PORQUE É TÃO PERIGOSO?

O Pegasus é mais do que um simples spyware que monitoriza as comunicações. Basicamente, assume o controle do telemóvel infetado. Quando infeta um smartphone, modifica o software do aparelho para aceder a todas as suas funções, tornando-se efetivamente “dono” do telefone.

O que tornou o Pegasus particularmente perigoso foi a sua capacidade de infetar dispositivos sem qualquer ação do utilizador. Ao contrário do malware típico que requer clicar numa ligação maliciosa ou visitar um site comprometido, o Pegasus pode explorar vulnerabilidades sem qualquer interação do utilizador. Por exemplo, utilizou uma vulnerabilidade do WhatsApp para infetar telefones com apenas uma chamada perdida. O spyware evoluiu para tirar partido de explorações (exploits) de clique zero em aplicações como o iMessage, FaceTime, WhatsApp, Telegram e outras.

Uma vez instalado, o Pegasus podia ler mensagens, emails e registos de chamadas; capturar imagens de ecrã; seguir o histórico do navegador; registar as teclas premidas; e aceder aos contatos. Também podia exfiltrar dados, enviando ficheiros de volta para os seus servidores. A encriptação de serviços de mensagens como o WhatsApp e o Signal foi contornada, uma vez que o Pegasus podia interceptar os dados diretamente do telefone antes de estas aplicações poderem aplicar a encriptação. O software podia mesmo ser utilizado para colocar documentos incriminatórios nos telemóveis infetados.

Mesmo os iPhones, frequentemente considerados mais seguros, eram vulneráveis ao Pegasus. Enquanto os iPhones registam a atividade do dispositivo, o que pode ajudar a detetar infecções, os dispositivos Android não têm registos tão abrangentes, o que torna mais fácil ao Pegasus esconder a sua presença. Independentemente do sistema operativo, o Pegasus pode invadir todos os aspectos da vida digital e física de um alvo, o que o torna uma ferramenta formidável de vigilância. É muito mais sofisticado do que o vulgar malware ou spyware e foi, por isso, classificado como spyware de nível militar. A NSO, uma empresa israelense, tinha laços muito estreitos com a Unidade 8200, o equivalente israelense da NSA. A NSO foi fundada e gerida por ex-oficiais dos serviços secretos da Unidade 8200.

À luz desta decisão do tribunal dos EUA, uma questão premente para a Índia diz respeito ao estado das investigações Pegasus e aos relatórios apresentados em 2022 por um comité de peritos nomeado pelo tribunal ao Supremo Tribunal. A NSO sempre afirmou que o Pegasus foi vendido apenas a “governos controlados”, o que levantou questões sobre o papel do governo indiano na pirataria ilegal dos telemóveis dos cidadãos. O governo tem-se baseado no silêncio, na negação e na ofuscação em resposta a estas graves alegações. O governo mostrou pouco interesse em investigar as alegações de que jornalistas, ativistas, políticos e mesmo autoridades constitucionais foram alvo do spyware. Afirmou que o quadro legal da Índia era suficientemente robusto para impedir a vigilância ilegal e recusou-se a confirmar se possuía o spyware, alegando preocupações com a segurança nacional. Esta posição manteve-se apesar de ter admitido no Parlamento que tinha conhecimento de que o Pegasus visava os utilizadores através do WhatsApp. Relatórios críveis sugerindo que o Pegasus poderia ter sido utilizado para colocar provas nos dispositivos de dissidentes também foram recebidos com silêncio. O então presidente do Supremo Tribunal da Índia, N V Ramana, observou em audiência pública que o governo se recusou a cooperar com a comissão nomeada pelo Supremo Tribunal, criada para investigar o assunto. As conclusões da comissão continuam por publicar.

À luz desta decisão judicial do tribunal dos EUA, que responsabiliza o Grupo NSO pela utilização do seu software de espionagem pelos seus clientes, exclusivamente entidades governamentais “controladas”, chegou a altura de ressuscitar a investigação em curso sobre este assunto. Os relatórios selados do Supremo Tribunal devem ser divulgados e devem ser lançadas investigações exaustivas. O Supremo Tribunal já tinha comentado que, invocando preocupações de “segurança nacional”, os direitos fundamentais dos cidadãos, nomeadamente o direito à privacidade, não podem ser violados indiscriminadamente. É essencial para a preservação do sistema democrático e para a proteção dos direitos dos cidadãos que sejam apuradas responsabilidades para aqueles que transgrediram as leis e violaram todos os limites legais. Uma vez que o Governo de Modi está em negação e procura proteger os culpados, deve ser efetuada uma investigação de alto nível para responsabilizar o Governo. O Supremo Tribunal deve iniciar e supervisionar esse inquérito.