Para se ter uma ideia, vou falar de uma situação que conheci. Um amigo que trabalha direto com segurança de redes foi “contratado” (e ganhou bem) para entrar no celular de uma pessoa de alto escalão numa empresa. Ele procurou saber a rotina dela no trabalho, apareceu lá como técnico de uma empresa de telefonia que precisava ir lá vários dias para “configurar a rede”, vigiou a pessoa por uma semana, mapeou as rotinas de uso do aparelho, e descobriu que o celular volta e meia era carregado em outra sala. Arrumou um aparelho semelhante e foi lá para invadir. Quando ninguém estava olhando, trocou os aparelhos, botou o fake para carregar e ficou mexendo no da vítima como se fosse o dele. O da vítima usava senha de “desenhar com o dedo”. Ele errou várias vezes o padrão de propósito até o celular pedir um PIN. Digitou lá 1234 no PIN (padrão de fábrica, ninguém se lembra de mudar) e abriu o aparelho. Botou um pendrive OTG no celular, passou o programa para o aparelho, terminou a invasão e deixou o celular carregando de novo. Foi até a empresa mais dois dias para não dar na pinta, e ativou o programa uma semana depois. Teve acesso a tudo. Cliques, senhas, áudio, acesso a câmera e microfone, ligações, tudo mesmo.

Não é difícil entrar em celulares. Só precisa pegar o aparelho e colocar o programa lá. As vulnerabilidades são tantas, que a vítima nunca vai notar que o aparelho foi invadido. Se não tiver acesso ao aparelho, pode ser por um vídeo MP4 (https://gbhackers.com/whatsapp-vulnerability/), uma figura GIF (https://latesthackingnews.com/2019/10/06/whatsapp-exploit-poc-allows-attackers-to-hijack-chat-sessions-via-malicious-gifs/)… Nestes dois casos, basta simplesmente abrir os arquivos, que podem ter conteúdo inocente, e a invasão está feita. É muito mais barato que invadir sem pegar o aparelho.

Toda hora aparece uma vulnerabilidade nova no mercado, os invasores e as empresas ficam num jogo de gato e rato: vulnerabilidades são descobertas e exploradas para invasão, empresas correm para fechar o buraco, aparece outra vulnerabilidade, empresas correm para fechar de novo. Por isso sai tanta atualização dos aplicativos e do sistema, que tem de ser feita imediatamente. Nesse jogo, os valores de US$ 1.500.000,00 para uma invasão remota de WhatsApp, zero click, estão bem na média do que financiadores de pesquisa em segurança digital costumam pagar: https://zerodium.com/program.html. Este é o valor para uma técnica de invasão que supostamente não tenha sido usada; com certeza o valor para técnicas de invasão menos conhecidas, e sua aplicação para invasões, sai bem mais caro. É bem diferente de pagar uma licença à Microsoft, que é uma vez para sempre. A técnica de invasão corre o risco de funcionar por pouco tempo, e precisa ser atualizada com outra mais recente, o que pede outro pagamento milionário, e depois outro, e mais outro… Por isso eu acho que a polícia civil ainda não tem este tipo de tecnologia mais avançada, e usa as tecnologias mais simples de invasão com acesso físico ao aparelho, com acesso às nuvens do aparelho (Google/iCloud), com arquivos maliciosos ou coisa assim.

Há algumas formas de invadir um dispositivo móvel sem que a criptografia seja quebrada.
No caso da notícia, o WhatsApp notificou todos os usuários afetados pelo NSO (1.400 pessoas no mundo inteiro). Não me recordo se teve algum brasileiro notificado.
No mercado, uma vulnerabilidade para o WhatsApp, zero click e que seja remotamente explorável (RCE) é avaliada por volta de USD 1.500.000,00. Seria uma técnica muito sofisticada para uma polícia civil brasileira ter desenvolvido por conta própria.
Mesmo as suítes de hacking .gov tem limite de quantos dispositivos podem invadir, já que algumas das empresas tem como modelo de negócio a licença para um determinado número de alvos.
Mas estamos assumindo muitas coisas: que o celular estava atualizado, possuia senha, e a mesma era razoavelmente segura, que terceiros não tiveram acesso ao celular, que não foi instalado nenhum programa “extra”, que a conta iCloud ou Google não foi comprometida de outra forma…

>E só precisavam descobrir o número quando o chip era trocado.

Os dispositivos móveis possuem outros identificadores, por exemplo, o IMEI e com esse identificador único é possível rastrear o celular mesmo trocando o cartão SIM (“chip’). Se você muda de ‘chip’ para gerir as suas múltiplas identidades para evitar a vigilância de um governo ou da sua empresa de telefonia, você está cometendo um erro de segurança operacional muito simples, pois o IMEI (Identificação Internacional de Equipamento Móvel) é sempre o mesmo e tanto a operadora quanto o governo sabe disso.

Tiveram acesso a uma foto com nudez minha que tinha enviado pra namorada
A conversas sexuais
Possuem video chamada que fiz tomando banho (eu estava tomando banho e conversando com minha namorada via Whatsapp), que nem eu tenho isso salvo
Recebi ameaças

Diante disso tudo exposto, ficou inviável pra mim continuar dando aula, uma vez que a comunidade faz uma cobrança moral forte sobre os professores.

E o sujeito vem dizer que é mentira.

Espere acontecer com você então!

Eu estou alertando, não existe segurança no celular. Papo de que Whatsapp é seguro é mentira.

Isso aconteceu comigo:

3 candidatos a vereador, sendo 1 deles professor da escola
1 filha de um maçom e prima de ex vice-prefeito, que era diretora
Gente do sindicato
Professores membros de familia tradicional da cidade
1 professor que havia sido diretor

Ficaram incomodados com minha presença na escola e fizeram o que relato, incadiram meu celular com ajuda do professor que tem parente na policia civil.

Destruíram minha carreira.

Quanto ao comentário da Borboleta Psicodélica, que não consegue ter opinião própria sem citar várias vezes o mesmo autor, quase não tenho o que dizer, porque não entendi nada. Parece uma colagem de esquizofrênico.

O que defendo é o cuidado tanto no nível pessoal quanto no nível tecnológico. No nível pessoal, este artigo aponta bem as falhas a evitar. No nível tecnológico, aponta boas soluções para garantir mais segurança que as opções mais comuns.

Penso que outras “tantas lições” também podem ser tiradas no presente artigo e nos seus comentários: “(…) em Hong Kong e no Chile tanto os programas de mensagens privadas como as redes sociais mais públicas tem tido um papel fundamental na difusão de informações e na comunicação entre trabalhadores/as para planejar e efetuar as diversas medidas de combate”… Além do mais, parece (e a aparência sempre pode levar ao engano…) que estas e outras recentes “rebeliões” se caracterizam, não apenas, mas, sobretudo, como “revolta no interior da coesão”, chamando a atenção para a sua ambivalência, ao mesmo tempo radical e conservador”, mesmo sob bandeiras antinacionalistas: “antinacionalismo afirmado dentro de quadros nacionais é outro nacionalismo” (João Bernado, Labirintos do Fascismo, 3ª Edição, p. 13 e p. 296).

Muitos são os chamados ao raciocínio, mas poucos de fato o realizam. “Polícias civis pertencem aos Estados, cuja crise econômica todo mundo conhece. O Pegasus custa alguns milhões, sem contar treinamento, atualizações etc.” Isso, se diz alguma coisa, diz muito pouco. Antes mesmo do acordo bilionário realizado este ano pelo Tribunal de Justiça do Estado de São Paulo com a Microsoft (o valor é de R$ 1,3 bilhão, este mesmo Tribunal mantinha, desde 2006, um contrato com a empresa Softplan no valor de R$ 250 milhões anuais, segundo o próprio TJ-SP. Ambos os contratos dispensaram, inclusive, licitação baseados na Lei nº 8.666, de 21 de junho de 1993, que prevê entre outra várias hipoteses, o fornecimento de bens e serviços: para o fornecimento de bens e serviços, produzidos ou prestados no País, que envolvam, cumulativamente, alta complexidade tecnológica e defesa nacional, mediante parecer de comissão especialmente designada pela autoridade máxima do órgão. Assim, a crise econômica atinge de modos muito diferente os diversos setores do Estado. E o exemplo do TJ-SP é apenas um num universo estatal muitíssimo mais vasto (universo este que serve, entre outras coisas, para “processar ou prender” aqui, nos EUA, na China ou onde quer que seja…). Supondo que “organizações de direitos humanos que trabalham com orçamento público com ajuda de economistas, contadores e cientistas de dados” ajam com altruísmo, imparcialidade, idoneidade, etc, enfim, que não sejam da mesma índole que os capitalistas, gestores ou burgueses, ainda assim, me parece pouco provável devassarem por completo este universo estatal… portanto o melhor é seguir as recomendações de segurança do presente artigo, especialmente no tocante à militância…. Supondo que “organizações de direitos humanos que trabalham com orçamento público com ajuda de economistas, contadores e cientistas de dados” ajam com altruísmo, imparcialidade, idoneidade, etc, enfim, que não sejam da mesma índole que os capitalistas, gestores ou burgueses, ainda assim, me parece pouco provável devassarem por completo este universo estatal…

Conclusão: “O elo mais fraco da autodefesa digital” pode ser o elo mais forte quando “do hardware ao software e, principalmente, os meios de transmissão, sejam eles banda larga ou “curta”, 2 ou 3 ou 4 ou 5 G, todos estão em mãos de “empresas e instituições capitalistas” e é nelas e por elas que “aplicativos e softwares” “livres” ou não circulam”? Portanto, o melhor é seguir as recomendações de segurança do presente artigo, especialmente no tocante à militância…

[Comentário editado pelo Passa Palavra no dia 04/12/2019, às 12:34 do Brasil. Foram suprimidos os parágrafos repetidos]

Fica ai o meu relato de um caso real.

Existe um programa que consegue acessar tudo. O amigo tá dizendo que o governo não tem esse programa. Eu acho profunda inocência do colega.

Espero um dia ter a explicação definitiva do caso. E virei aqui postar.

O que eu sei por mim hoje é que não se deve colocar conteúdo comprometedor no celular.

A história que narrei é real. Eu não sei precisar os termos técnicos. Mas é real.

E só precisavam descobrir o número quando o chip era trocado.

Agora, vamos raciocinar. Polícias civis pertencem aos Estados, cuja crise econômica todo mundo conhece. O Pegasus custa alguns milhões, sem contar treinamento, atualizações etc. Compra neste valor aparece no orçamento público, e teria chamado a atenção das organizações de direitos humanos que trabalham com orçamento público com ajuda de economistas, contadores e cientistas de dados (elas aumentam a cada dia). Não faz sentido o uso do Pegasus por aqui. As polícias não botam no jornal o que usam, mas o que compram deixa rastro; além disto, as polícias ficam sabendo das novidades em espionagem nos mesmos eventos de informática e segurança de redes frequentados por qualquer especialista. Todos os muitos que conheço reforçam que isso de “invadir Whatsapp usando número”, sem ser com o Pegasus, é FAKE.

“Ah, mas tem o cara de Ruanda!” Vou bater na mesma tecla: espionagem tem custos, se você é um zé o mais fácil é botarem alguém atrás de você, custa bem menos que o Pegasus e é tão eficaz quanto. O “amigo do amigo” do Taumaturgo Oculto na polícia civil deve ter apresentado um malware espião qualquer e dito que “invadiu o Whatsapp usando o número” para meter medo. Ou a conversa foi “aumentando” de uma pessoa para outra, tipo a brincadeira de “telefone sem fio”.

Se as coisas fossem assim, o criador da criptografia não teria sido processado nos EUA por “exportar tecnologia militar”, a NSA não teria dito que aplicativos criptografados de mensagem são “uma ameaça” à vigilância, a China já teria prendido todo mundo em Hong Kong…

Pra resumir: se não entende do assunto, já ajuda muito se não fizer FUD desse jeito.

Existe na internet, pra quem quiser ver, uma audiencia do famoso caso do ‘Balta’. O capitao do Exercito que, sem autorizacao judicial, se infiltrou em um movimento de estudantes. Essa infiltracao resultou na detenço de todos os membros daquele nucleo ativista. Esse caso é famoso e um simples google eh suficiente para encontra-lo.

Pois bem… Na audiencia (disponivel no youtube) a Juiza, de forma espantosa, nao realiza qualquer tipo de controle sobre a atividade do ‘Balta’. É como se os caras do Exercito (e da Abin) pudessem fazer tudo e nao estivessem sujeitos às clausulas jurisdicionais descritas no CPP, na CF, etc.

Postei ai novamente uma matéria que fala de invasão a celular apenas tendo o número da vitima. Tinha postado essa matéria usando o pseudônimo Oculto. O que importa é o fato.

Eu não tenho formação na área. O que eu sei é da história que narrei. E gosto de alertar sobre ela porque até então eu também acreditava na conversa de que Whatsapp é seguro. E eu vou dizer novamente e ai leiam também a matéria do UOL: apenas com o número conseguem acessar sim os conteúdos.

Tanto faz se sou eu a vítima e se como uma mulher estuprada não quero me expor para os que riem da desgraça alheia. O que conta é que precisavam sempre saber o número. E quando um novo número era posto, davam um jeito de descobrir. Como é ambiente de trabalho, uma hora ou outra você vai fornecer.

Ninguém teve contato fisico, ninguém botou a mão no telefone. Tal qual a matéria do UOL relata, a coisa foi feita remotamente. Se foi por ligação, mensagem não sei. Sei que precisavam do número.

E sei que foi por meio desse professor com parente na policia civil. Que eu saiba, a policia civil não coloca num outdoor quais as suas formas de ação nem os instrumentos que realmente possui. Se alguém souber, me avise. Duvido que divulguem tudo.