Invasão de celular de Jeff Bezos causa dúvidas na comunidade de cibersegurança

O caso da invasão do celular de Jeff Bezos, fundador, presidente e CEO da Amazon, tomou um novo rumo após especialistas em seguranças dizerem que as evidências postuladas em um relatório técnico primário são “inconclusivas” e “circunstanciais”. Anteriormente, uma firma contratada pelo próprio executivo — FTI Consulting — atribuiu o hack a um arquivo de vídeo corrompido, enviado ao CEO via WhatsApp por uma conta pertencente a Mohammed bin Salman, o príncipe herdeiro, primeiro vice-primeiro ministro e ministro da defesa da Arábia Saudita.

“Análise feita pela firma de cibersegurança FTI Consulting descobriu que o malware estava incorporado em um arquivo de vídeo enviado a Bezos por uma conta de WhatsApp pertencente ao príncipe saudita”, disse o relatório da FTI. “O vídeo — um arquivo de pouco mais de 4,4 megabytes [de tamanho] —, era mais do que aparentava, de acordo com uma análise forense comissionada pelo Sr. Bezos para descobrir quem hackeou seu iPhone X. Escondido naquele arquivo estava um pedaço separado de código que muito provavelmente implantou um malware que concedeu aos invasores o acesso a todo o telefone do Sr. Bezos, incluindo suas fotos e comunicações privadas”.

Os leitores do Canaltech mais entusiasmados com notícias de cibersegurança vão reconhecer o padrão: Bezos foi vítima do malware conhecido como Pegasus. Já falamos dele aqui no site em outras ocasiões: ele foi criado pelo israelense NSO Group no intuito de vigiar, primariamente, jornalistas a mando de governos que contratem os serviços do grupo. Especulações dizem que foi por meio dele que o governo saudita acessou mensagens e a localização de Jamal Kashoggi, torturado e morto dentro do consulado árabe na Turquia, em 2018.

Voltando ao caso de Bezos, porém, outros especialistas ouvidos pela mídia estadunidense disseram que o relatório da FTI é baseado em material circunstancial e pouco aprofundado, trazendo ainda espaço para questionamentos: “A informação publicada deixou muitos observadores insatisfeitos. Alex Stamos, o ex-chefe de segurança da informação (CISO) do Facebook, que é dono do WhatsApp, disse que o relatório da FTI não foi suficientemente longe em sua análise. ‘Esse relatório forense não é muito forte. Muitas evidências circunstanciais estranhas, claro, mas nenhuma ‘arma do crime’, por assim dizer’, comentou Stamos. ‘O mais engraçado é que, aparentemente, a FTI tem [o dispositivo] bem na sua frente, eles só não descobriram ainda como testá-lo’”, publicou o site Cyberscoop.

Ainda citando o site: “‘Informações satisfatórias sobre a quebra de criptografia do arquivo deveria estar presente na extração forense executada pela FTI’, disse o pesquisador do Citizen Lab, Bill Marczak. (...) Matt Green, professor adjunto de Ciências da Computação da Universidade Johns Hopkins, contou ao Cyberscoop que o arquivo citado no relatório indica que a cifra [chave] para ‘descriptografar’ o download executável estaria contida no próprio arquivo. ‘Isso é criptografado pelo uso de chaves que deveriam estar armazenadas no próprio dispositivo, o que levanta a questão de porque eles não quebraram essa proteção e examinaram o que encontraram’, disse Green”.

A CNN, porém, indica que nem todos os especialistas discordam da análise supostamente “primária”, ainda que a considerem como tal. À emissora, o engenheiro de segurança e ex-consultor dos departamento de Defesa e de Segurança Interna dos EUA, Kenneth White, afirmou que é extremamente difícil refazer os passos de um hacker “determinado e com bons recursos”: “‘Eu acho que deve ser avaliado o contexto de toda a investigação; isso é só uma parte da história. Alguns dos críticos técnicos sobre como a parte forense e quais dados foram ou não analisados foram justos, mas isso não é de nenhuma forma um caso ‘típico’ de invasão de smartphones, se é que existe algo assim’”.

Outro especialista, que falou com a CNN em condição de anonimato, ressaltou que cada caso tem suas peculiaridades e não há um padrão específico que obedeça a todos eles: “Tem uma quantidade absurda de ‘conversinhas’ por aí. Isso não é um filme — as coisas não procedem de uma forma perfeita e limpa. [Uma investigação do tipo] É bagunçada, e decisões são tomadas desse jeito também”.

Até o momento, o que todos parecem concordar é com a identidade confirmada de que a conta no WhatsApp de fato pertence ao príncipe Mohammed bin Salman: o membro da família real saudita e Bezos se conheceram durante uma viagem do executivo ao país, mantendo conversas breves pelo mensageiro do Facebook desde então. Entretanto, tanto o governo estadunidense como o saudita negam que a invasão tenha qualquer motivo político, atribuindo o caso a atores com agendas próprias.

Fonte: Cyberscopp; CNN