Pular para o conteúdo

Membro da comissão PEGA tem iPhone invadido por Pegasus na União Europeia

Mulher preocupada analisando dados financeiros no celular em escritório moderno com bandeiras da União Europeia.

Um integrante da comissão encarregada de investigar os abusos ligados ao software espião Pegasus teve o próprio iPhone esvaziado por dentro, expondo uma falha de segurança tão irónica quanto alarmante no coração da União Europeia (UE).

Especialistas em cibersegurança do Citizen Lab, da Universidade de Toronto, divulgaram agora um caso particularmente constrangedor para Bruxelas: Stelios Kouloglou, ex-eurodeputado e jornalista grego, teve o seu iPhone pessoal comprometido em várias ocasiões.

A ironia é completa: ele foi escolhido como alvo enquanto atuava ativamente na comissão PEGA, um órgão do Parlamento Europeu criado especificamente para apurar os desvios de softwares espiões na Europa. É a primeira vez que um membro dessa comissão oficial é publicamente identificado como vítima.

Como o ataque “zero-click” no iOS drenou o iPhone

Para obter acesso aos dados do eurodeputado, os invasores recorreram a uma técnica particularmente eficaz: uma falha do tipo “zero-click” escondida no iOS. Em vez de depender de golpes comuns, a vítima não precisou clicar em link suspeito algum nem baixar qualquer ficheiro.

O código malicioso explorou uma vulnerabilidade associada ao sistema de casa conectada do iPhone para entrar de forma silenciosa. Depois de instalado, o programa conseguiu sugar todo o conteúdo do aparelho sem que o proprietário percebesse.

Um timing dos mais inequívocos

A ferramenta usada nessa intrusão foi o próprio Pegasus, o software espião mais temido do mercado. Desenvolvido pela empresa israelense NSO Group, o produto é, em tese, vendido a agências governamentais para combater o terrorismo e a grande criminalidade.

Ainda assim, há anos ele está no centro de um escândalo global. Diversas apurações mostraram que alguns governos o utilizam para vigiar alvos bem menos legítimos, como opositores políticos, ativistas de direitos humanos e jornalistas. A Grécia, inclusive, foi abalada pelo seu próprio caso nacional de espionagem, apelidado de “Watergate grego”.

No caso do eurodeputado, a cronologia dos ataques dificilmente parece aleatória. O Citizen Lab concluiu que a primeira invasão ocorreu em outubro de 2022, justamente durante um período de audiências tensas, quando a comissão PEGA preparava o seu primeiro relatório sobre vigilância na Europa.

Duas novas intrusões vieram depois, em março de 2023, no exato momento em que Kouloglou viajava entre Atenas e Bruxelas para fechar o relatório. Alguém, ao que tudo indica, queria conhecer em detalhe os segredos da instância.

Inércia política

A indignação de Stelios Kouloglou é, naturalmente, enorme. O ex-eurodeputado manifestou revolta com o roubo de dados profissionais, mas também de fotografias e lembranças íntimas. Determinado a levar o caso adiante, anunciou a intenção de apresentar queixa contra a NSO Group. A eurodeputada belga Saskia Bricmont classificou o episódio como “um ataque direto contra o Estado de direito”.

O caso também escancara uma paralisia política preocupante. Embora a comissão PEGA tenha publicado conclusões e sugerido recomendações rigorosas, a UE não implementou nenhuma medida concreta. Para John Scott-Railton, pesquisador sénior do Citizen Lab, a situação é “embaraçosa” para a Europa.

UE vulnerável enquanto outros já reagiram

Enquanto isso, os Estados Unidos já avançaram ao colocar a NSO Group numa lista negra. Sem leis firmes e sem um laboratório comum de defesa tecnológica, as instituições europeias seguem, hoje, especialmente expostas a armas digitais.


Comentários

Ainda não há comentários. Seja o primeiro!

Deixar um comentário