Meio Bit » Mobile » Ativistas vazam dados de empresas que invadem celulares

Ativistas vazam dados de empresas que invadem celulares

Mais de 1 TB de dados da Cellebrite e MSAB, empresas que invadem celulares, foram vazados; ambas vendem serviços a regimes autoritários

1 ano atrás

Um grupo de ativistas digitais compartilhou na internet quase 2 TB de dados das companhias forenses Cellebrite e MSAB, conhecidas por fornecerem soluções para quebra, à força, da criptografia em celulares e outros dispositivos móveis, principalmente iPhones.

Segundo o site Enlace Hacktivista, o primeiro a compartilhar o ocorrido, os dados foram compartilhados por "um indivíduo anônimo", e ninguém sabe como eles foram conseguidos.

Criptografia ponta a ponta incomoda regimes autoritários, e a Cellebrite lucraria com eles (Crédito: Ronaldo Gogoni/Meio Bit) / celulares

Criptografia ponta a ponta incomoda regimes autoritários, e a Cellebrite lucraria com eles (Crédito: Ronaldo Gogoni/Meio Bit)

A Cellebrite, uma companhia forense sediada em Israel, ficou notória ao fornecer uma ferramenta que quebrou a criptografia do iPhone de um dos envolvidos no atentado de San Bernardino, em 2015. O ataque, realizado por um casal que vivia na região, deixou 14 mortos e 22 feridos.

Em fevereiro 2016, o FBI declarou ser incapaz de atravessar a criptografia ponta a ponta implementada no iPhone 5c de um dos perpetradores, e de modo a ter acesso aos dados, solicitou à Apple que o desbloqueasse, o que a empresa se recusou a fazer, não importando a circunstância, mesmo sob pena de encarar um processo federal, por obstrução da justiça.

Em 28 de março, o governo dos Estados Unidos anunciou haver conseguido desbloquear o iPhone (não havia nada relevante nele, entretanto), graças a uma ferramenta oferecida por "uma empresa terceira", que inicialmente pensou-se ser a Cellebrite; ainda que 2021, a empresa que realmente desbloqueou o aparelho tenha sido identificada como a australiana Azimuth Security, o caso colocou os israelenses no centro das atenções.

Isso porque na época, a Cellebrite usou o ocorrido para promover suas ferramentas de desbloqueio de celulares, incluindo iPhones e dispositivos Android de quaisquer fabricantes, e oferecer seus serviços e kits a governos e oficiais de justiça, idealmente para investigações criminais.

Claro, não demorou para a companhia ser acusada de facilitar a vigilância e perseguição a ativistas, jornalistas e dissidentes, ao ter como clientes os governos da Rússia, Venezuela e China, esquadrões da morte de Bangladesh, juntas militares de Mianmar, órgãos de repressão da Arábia Saudita, Irã, Belarus, Azerbaidjão e Turquia, etc.

As soluções da Cellebrite também já foram usadas no Brasil: em 2021, a Polícia Civil do Rio de Janeiro usou as soluções da empresa israelense para recuperar dados apagados de um celular de envolvidos no caso Henry Borel.

Ao longo dos anos, a Cellebrite colecionou inimigos e desafetos, que incluem Apple e Google, no que ambas atualizam constantemente seus sistemas para se tornarem imunes às ferramentas de quebra de criptografia, que governos em geral não curtem muito. Em outro caso, quando os israelenses anunciaram terem quebrado a proteção do Signal, o CEO do mensageiro respondeu, ao anunciar que invadiu o software adversário, usando um kit que teria "caído de um caminhão".

O kit que a Cellebrite "perdeu" (Crédito: Moxie Marlinspike/Signal)

O kit que a Cellebrite "perdeu" (Crédito: Moxie Marlinspike/Signal)

Claro, a Cellebrite não é a única companhia forense que presta serviço de quebra de criptografia em celulares a quem pode pagar. A sueca MSAB, também acusada de vender serviços a países como Mianmar, é igualmente criticada por grupos de defesa de direitos digitais e liberdade de expressão na internet.

Ambas teriam sido alvo de um hacker não identificado, que conseguiu coletar 1,7 TB de dados da Cellebrite, e 103 GB da MSAB. Estes foram repassados aos sites Enlace Hacktivista e DDoSecrets, que os disponibilizaram para qualquer um baixar, via download direto ou torrent.

Os arquivos contêm todas as soluções para quebra de criptografia da Cellebrite, como seu carro-chefe UFED, e outros como Physical Analyser (versões básica e Ultra), Cellebrite Reader, e ferramentas de licenciamento. Há também guias técnicos e arquivos usados para ensinar como usar os softwares e ferramentas físicas.

Os arquivos vazados também incluem documentos internos para tratamento com clientes de ambas empresas, compreendidos entre 19 de novembro e 3 de dezembro de 2022, possivelmente o período em que o hacker original teve acesso às informações. Isso indica que não se trata de um vazamento, mas de uma invasão dos bancos de dados de ambas companhias forenses.

Com base na análise dos dados, informações sensíveis de clientes não foram acessadas, e não se encontram nos pacotes para download; os sistemas da Cellebrite e da MSAB não foram criticamente afetados, e operam normalmente.

É bem possível que o pessoal da Cellebrite esteja assim agora:

Deu ruim, Cellebrite (Crédito: Reprodução/Brandywine Productions/20th Century Studios/Disney)

Deu ruim, Cellebrite (Crédito: Reprodução/Brandywine Productions/20th Century Studios/Disney)

Ainda que tanto a Cellebrite quanto a MSAB estejam correndo para fortalecer as defesas de seus softwares, é fato que a Caixa de Pandora foi aberta: tais produtos, até então absolutamente restritos a governos, autoridades e gente com muito dinheiro, independente da índole, estão agora a um clique de distância de qualquer um.

Hackers e ativistas usarão engenharia reversa e vão esmiuçar o código dos softwares, de alto a baixo, a fim de oferecerem contramedidas a quem precisa realmente proteger seus dados em seus celulares, sem falar que Tim Cook e Sundar Pichai devem estar rindo muito neste momento, enquanto seus engenheiros de software destrincham os programas para aumentar as proteções do iOS, iPadOS e Android.

No mais, a Cellebrite poderá não mais se gabar de ser a companhia capaz de "quebrar a defesa de quaisquer celulares que existem", e tenha agora que entrar em um jogo de gato e rato contra Apple e Google, hackativistas e empresas terceiras diversas, que não permitirão que dados de seus usuários sejam fuçados no futuro.

Fonte: DDoSecrets

Leia mais sobre: , .

relacionados


Comentários