Ação da Apple contra o Grupo NSO visa a espionagem ilegal por regimes opressores

A Apple afirma que seu processo contra o Grupo NSO é uma tentativa de responsabilizar a empresa de vigilância “pela… vigilância e direcionamento dos usuários da Apple”. E não poupou sua ira ao acusar a empresa israelense de spyware de vender software de vigilância para governos autoritários – independentemente de esses governos o usarem para atingir dissidentes, jornalistas e ativistas.

O Grupo NSO já estava enfrentando problemas legais depois que virou alvo de uma ação da plataforma de mensagens WhatsApp, em 2019, por motivos semelhantes. No início deste mês, o Tribunal de Recursos do Nono Circuito dos EUA rejeitou a alegação da empresa de spyware de que deveria ser protegido por leis de imunidade soberana. No caso de destaque, o WhatsApp alegou que o spyware da NSO foi usado para hackear 1.400 usuários do aplicativo de mensagens.

Os dois processos abrem a empresa para requisitos de descoberta conforme os casos avançam. Até agora, o Grupo NSO foi capaz de ocultar suas práticas de negócios em sigilo.

Em setembro, o Citizen Lab, uma organização de vigilância da segurança cibernética, divulgou um relatório descrevendo o que descobriu ser explorações zero-day zero-click do spyware Pegasus do Grupo NSO contra vários dispositivos eletrônicos e documentos digitais.

“Acho altamente improvável que eles não tivessem capacidade de controlar e nenhuma ideia sobre o uso indevido de seu software – especialmente nos últimos dois anos, porque o Citizen Lab e outras organizações têm documentado o uso indevido do software”, disse Cindy Cohn, diretora Executiva da Electronic Frontier Foundation (EFF), um grupo de direitos digitais sem fins lucrativos com sede em San Francisco. “Quero dizer, depois que [Jamal] Khashoggi foi morto, como você não se pergunta?”

Vários meios de comunicação alegaram que o malware de hackers do Grupo NSO foi usado para monitorar pessoas próximas ao jornalista saudita e dissidente Jamal Khashoggi antes e depois de sua morte no consulado saudita em Istambul, em 2018.

O Grupo NSO negou enfaticamente que seus clientes governamentais usaram o spyware para atingir o jornalista ou sua família.

A EFF publicou um artigo, Know Your Customer, argumentando que a responsabilidade deveria recair sobre a empresa de tecnologia em documentar os registros de direitos humanos de seus clientes antes de vender software que pudesse ser usado para espionar os cidadãos.

“Não é preciso ser um especialista em foguetes para perceber que, se você está vendendo para o governo da Arábia Saudita, é muito provável que esse software seja usado contra dissidentes”, disse Cohn.

A Apple fez quatro pedidos de reparação contra o Grupo NSO, especificamente:

• Violações da Lei de Fraude e Abuso de Computador;
• Violações do Código de Negócios e Profissões da Califórnia § 17200;
• Quebra de contrato (especificamente em torno dos Termos de uso do iCloud);
• Enriquecimento injusto (como alternativa à terceira acusação).

No processo da Apple, ele descreveu o Grupo NSO como “hackers notórios – mercenários amorais do século 21 que criaram máquinas de vigilância cibernética altamente sofisticadas que convidam a abusos rotineiros e flagrantes. Eles projetam, desenvolvem, vendem, distribuem, implantam, operam e mantêm produtos e serviços de malware e spyware ofensivos e destrutivos que foram usados para visar, atacar e prejudicar usuários Apple, produtos Apple e a Apple”.

A Apple alegou que o Grupo NSO lida com spyware para seu próprio ganho comercial, permitindo que os clientes abusem de suas ofertas “para visar indivíduos, incluindo funcionários do governo, jornalistas, empresários, ativistas, acadêmicos e até mesmo cidadãos dos EUA”.

A Apple revelou que a exploração “FORCEDENTRY” do Grupo NSO também foi usada para invadir o dispositivo de um cliente da Apple para instalar a versão mais recente do Pegasus.

A Apple alegou que o software do Grupo NSO não violou os dados contidos nos servidores da Apple, mas abusou dos serviços e servidores da empresa para perpetrar ataques aos usuários e aos dados armazenados em seus dispositivos. (A empresa israelense vende software que pode ajudar governos e equipes de segurança a hackear iPhones.)

A EFF levantou questões sobre se a ação legal em andamento poderia abrir um precedente permitindo que a Lei de Fraude e Abuso de Computador (CFAA) [Computer Fraud and Abuse Act ] seja usada contra atores legítimos, como Citizens Lab ou outras entidades que investigam empresas de tecnologia por impropriedades.

“É uma lei vaga que é muito mal utilizada por promotores e empresas privadas”, disse Cohn. “…Estaremos observando este caso de perto para garantir que o impacto dele permaneça baseado nesses atores mal-intencionados e não se espalhe para os próprios pesquisadores como o Citizen Lab, que trouxe essa informação ao público. Infelizmente, a lei não está bem definida de forma a nos deixar confortáveis que isso acontecerá automaticamente”.

Jack Gold, presidente e principal analista da J. Gold Associates, disse que, se for bem-sucedido, o processo da Apple tem o potencial de tornar o principal produto da NSO “inútil”, uma vez que depende da concessão de “acesso total” aos clientes aos smartphones direcionados. Mas Gold também questionou a eficácia de uma vitória no final, porque o Grupo NSO tem sede em Israel, não nos Estados Unidos, e a Apple teria que abrir processos separados em cada país em que opera.

“A Apple pode vencer nos tribunais dos EUA e barrar a NSO aqui, mas isso é apenas nos EUA”, disse Gold. “A UE e outros países teriam que, de alguma forma, assinar qualquer processo judicial. Não está claro para mim se a Apple pretende perseguir o NSO em todos os países do mundo onde opera, o que teria que ser feito para impedir completamente o funcionamento do NSO em qualquer dispositivo Apple”.

Também não está claro para Gold como a Apple, como empresa, foi prejudicada. “Isso causou danos a alguns usuários da Apple, mas pode ser difícil para a Apple provar qualquer dano à sua reputação”, disse ele. “Então, em essência, está processando em nome de seus usuários, e não sei se isso vai dar certo”.

O alcance jurisdicional da CFAA é amplo, de acordo com Cohn. O governo dos Estados Unidos o usa regularmente para abrir processos internacionais contra entidades fora de suas fronteiras.

“Portanto, não estou muito preocupado com a jurisdição. Existem alguns riscos em uma interpretação ampla da CFAA e algumas das outras afirmações que a Apple está fazendo, mas acho que se for feito corretamente, pode ser extremamente afetivo”, disse Cohn.

De certa forma, o caso da Apple pode depender do impacto financeiro que o spyware pode ter em seus resultados financeiros, de acordo com Cohn.

“Essas empresas precisam gastar muitos recursos para tentar bloquear esses atores mal-intencionados”, disse ela. “Eu aprecio que essas empresas estejam defendendo os direitos humanos desses usuários. Mas o que fica claro na reclamação é que [a Apple] também tem interesse financeiro em parar essa situação de corrida armamentista e proteger seus próprios resultados financeiros e a quantidade de dinheiro que eles precisam gastar para tentar lidar com esses programas maliciosos”, disse Cohn.

A EFF é uma líder de torcida improvável da Apple; tem sido altamente criticada pela empresa por seus próprios esforços de vigilância de dispositivos.

Nos últimos meses, o grupo de direitos digitais tem protestado contra o novo sistema de digitalização da Apple para materiais de abuso sexual infantil nos dispositivos dos usuários. Em setembro, a EFF ergueu uma faixa de protesto sobre a sede da Apple em Cupertino, Califórnia, pedindo à empresa que parasse de digitalizar os iPhones dos usuários.

Eles ainda estão fazendo coisas de que não gostamos, mas agora estão finalmente fazendo algo de que gostamos”, disse Cohn. “Portanto, é uma maneira muito melhor de começar o feriado para elogiá-los, em vez de reclamar deles”.