Vault 7: A CIA Comprometeu A Segurança do WhatsApp e do Signal?

As revelações feitas pela WikiLeaks esta terça-feira (#Vault7) são preocupantes. Os documentos publicados revelaram mais uma vez que as agências de segurança/espionagem norte-americanas estão a dar grande prioridade à espionagem digital, mesmo que com isso coloquem os seus cidadão em perigo.

Ficámos a saber, por exemplo, que a CIA “colecciona” técnicas de ataque obtidas a partir de malware produzido noutras nações, nomeadamente na Rússia. Pior ainda, têm conhecimento de inúmeras falhas de segurança e não as comunicam aos fabricantes.

The CIA’s Remote Devices Branch‘s UMBRAGE group collects and maintains a substantial library of attack techniques ‘stolen’ from malware produced in other states including the Russian Federation.

With UMBRAGE and related projects the CIA cannot only increase its total number of attack types but also misdirect attribution by leaving behind the “fingerprints” of the groups that the attack techniques were stolen from.

UMBRAGE components cover keyloggers, password collection, webcam capture, data destruction, persistence, privilege escalation, stealth, anti-virus (PSP) avoidance and survey techniques.

Mas houve algumas informações que foram mal transmitidas nos comunicados da Wikileaks, principalmente para a população menos conhecedora de tecnologia e de segurança da informação. Por exemplo, neste tweet da WikiLeaks, é dado a entender que a CIA conseguiu comprometer a cifra das aplicações Signal, WhatsApp, Telegram e Confide.

Mas será verdade? Não. O que a agência de espionagem conseguiu foi algo muito pior. Tal como refere Edward Snowden numa resposta ao tweet da WikiLeaks, a CIA comprometeu a segurança dos próprios sistemas operativos iOS e Android. Dessa forma conseguem um acesso privilégio a tudo o que os utilizadores desses sistemas façam, desde utilizar o WhatsApp, câmara fotográfica, microfone, aceder ao email, etc.

Usando a analogia feita por Jeremy Scahill no episódio desta semana do podcast Intercepted, utilizar o Signal num sistema comprometido será como instalar uma porta blindada numa casa com o ladrão já lá dentro.