Ao menos 36 profissionais de comunicação, entre jornalistas, produtores e executivos da estação de televisão Al Jazeera, sofreram ataques no aplicativo iMessage. É uma possível campanha de spyware. Também foi hackeado o telefone pessoal de uma jornalista da Al Araby TV, de Londres, em outubro de 2019.

As informações sobre os ataques aos jornalistas com IOS ‘desatualizado’, foram divulgadas no relatório do Citizen Lab, laboratório de vigilância da Internet da Universidade de Toronto (Canadá). O Lab afirma que “parecem ser vulneráveis quase todos os dispositivos iPhone que não foram atualizados para o iOS 14”. Recentemente divulgamos por aqui que usuários do iOS 14 beta receberam aviso de atualização falsa.

O Citizen Lab publicou que o ataque ao IOS dos jornalistas foi encabeçado por um grupo de quatro hackers usado o spyware Pegasus vendido pela empresa israelense NSO Group. O grupo é acusado de atuar em nome do governo dos Emirados Árabes e da Arábia Saudita ao espionar os jornalistas que cobriam notícias sobre o Oriente Médio. A crise vem desde 2017, quando Arábia Saudita,  os Emirados Árabes Unidos, o Bahrein e o Egito acusaram o Catar de alimentar a crise do Oriente Médio estimulados por veículos de comunicação e grupos políticos.

Ataques sofisticados

O Citizen Lab informou que os ataques parecem ter utilizado um exploit zero-day a partir de uma vulnerabilidade no próprio iMessage para assumir o controle de um iPhone. Ou seja, as vítimas não fizeram qualquer ação que facilitasse o ataque ao dispositivo. Ao passo que os hackers, usando uma ferramenta que foi apelidada de ‘Kismet’ pelos pesquisadores, enviaram uma mensagem às vítimas que nem precisavam clicar. Trata-se de um tipo de cavalo de Troia, usado para contornar a segurança de um iPhone. Assim os hackers operaram sem deixar rastros imediatamente após infectarem o dispositivo.

O Citizen Lab, que já notificou a Apple sobre os ataques, identificou como uma das vítimas um  jornalista da Al Jazeera. Ele  autorizou que os pesquisadores do laboratório instalassem uma VPN em seu dispositivo porque suspeitava que pudesse ter sido hackeado. Usando o software, verificaram que  o dispositivo havia ‘visitado’ um servidor de instalação suspeito de spyware do Grupo NSO. Em poucos segundos o iPhone baixou mais de 200 MB de dados para três endereços IP pela primeira vez.

O relatório também concluiu que o spyware parou de funcionar recentemente, quando a Apple lançou o iOS 14, com recursos de segurança aprimorados. Mesmo assim pode ter revelado conteúdos importantes pois permitia  rastrear localização, acessar senhas, tirar fotos e gravar áudios de um telefone (incluindo ruído ambiente e áudio de chamadas telefônicas). O cavalo de Troia funcionava nos dispositivos mais recentes da Apple (mas a falha foi corrigida nos iPhones 11 rodando iOS 13.5.1).

De novo

Esta não é a primeira vez que surgiram alegações de que spyware do Grupo NSO foi utilizado no ataque a jornalistas. Faz pouco tempo que o The Guardian noticiou que o software foi supostamente usado para atacar  jornalistas no Marrocos e políticos de Ruanda.

Em matérias já veiculadas, a emissora Al Jazeera denunciou que o Grupo NSO já esteve ligado a governos que exploram a tecnologia para espionar jornalistas, políticos e ativistas entre outros alvos.

Em uma nota divulgada no site um porta-voz do Grupo israelense acusou a Citizen Lab de basear seu relatório em “especulações”  sem “qualquer” evidência que “sustente uma relação com o NSO”. Informou ainda que seus produtos são para combater o “crime organizado e o contra-terrorismo” e que qualquer evidência de violação grave de suas políticas será investigada.

A Apple também se manifestou em um comunicado, por meio de um porta-voz.  “Nossas equipes trabalham incansavelmente para fortalecer a segurança dos dados e dispositivos de nossos usuários. O iOS 14 é um grande salto em segurança e oferece novas proteções contra esses tipos de ataques. Sempre incentivamos os clientes a baixar a versão mais recente do software para proteger a si próprios e a seus dados”.

Via The Verge.