Presidente-executivo do app de mensagens diz que achou equipamento da Cellebrite na rua e depois descobriu vulnerabilidades. Recentemente, empresa responsável pelo sistema encontrou jeito de acessar dados do Signal. Serviços da companhia estão sendo usados no caso Henry Borel. Aparelho UFED da Cellebrite, usado para extrair informações de celulares, no Instituto Geral de Perícias de Santa Catarina (IGP-SC)
Divulgação/IGP-SC
Moxie Marlinspike, fundador e presidente-executivo do Signal, aplicativo de mensagens rival do WhatsApp e conhecido por suas opções de segurança e privacidade, divulgou nesta quarta-feira (21) um texto em que expõe brechas em um dispositivo da Cellebrite usado por policiais para perícias e extração de dados de celulares.
Os serviços da Cellebrite tiveram destaque na investigação da morte do menino Henry Borel, de 4 anos.
A Polícia Civil do Rio de Janeiro utilizou os equipamentos da companhia para conseguir provas contra o vereador Dr Jairinho, padrasto do garoto, e a professora Monique Medeiros, mãe de Henry.
“Ficamos surpresos ao descobrir que pouco cuidado foi dado à própria segurança de software da Cellebrite”, escreveu Marlinspike em um texto no blog oficial do Signal.
Ele disse que encontrou uma maleta com o dispositivo “em uma caminhada na rua” e que ela continha um adaptador, diversos cabos e a versão mais recente do software da Cellebrite.
Os produtos da Cellebrite têm capacidade técnica para desbloquear diversos celulares com Android e iOS (iPhones).
SAIBA MAIS: O que é o software usado pela polícia do Rio para investigar celulares no caso Henry Borel
O executivo da Signal disse que o UFED (Dispositivo de Extração Forense Universal, em tradução da sigla em inglês) possui “diversas vulnerabilidades” que poderiam “adulterar o dispositivo escaneado e os dados que poderiam ser acessados” – o que poderia comprometer a integridade de perícias.
Segundo ele, essas brechas poderiam ser utilizadas para alterar relatórios passados e futuros realizados no dispositivo.
WhatsApp, Telegram e Signal: COMPARE os apps de mensagens
A equipe que analisou o produto descobriu que ele continha trechos de softwares da Apple, o que poderia “violar direitos autorais”.
O CEO do Signal disse estar disposto a revelar para a Cellebrite todas as falhas de segurança que encontrou, mas a empresa precisaria se comprometer revelar as brechas que usa para desbloquear celulares “agora e no futuro”.
Os detalhes do funcionamento do serviço da Cellebrite são um segredo comercial. Em dezembro passado, a empresa disse ter encontrado uma forma de acessar dados de mensagens do Signal, burlando medidas de segurança do aplicativo, que é famoso por elas.
Em uma mensagem cifrada no final do seu texto, Marlinspike disse que as futuras versões do Signal iriam “buscar arquivos para colocar no armazenamento do app” e que tais arquivos não teriam utilidade.
Nas entrelinhas, o executivo parece sugerir que a mudança terá impacto no funcionamento dos produtos da Cellebrite.
No Brasil, além do caso Henry Boral, a tecnologia da Cellebrite já foi usada no Brasil em perícias realizadas pela Lava Jato, segundo relatórios da Polícia Federal.
O próprio site da Cellebrite afirma que a PF também utilizou seus serviços na Operação Enterprise, que investigou tráfico internacional de drogas.
Em 2019, o Ministério Público do Rio de Janeiro conseguiu autorização da Justiça carioca para usar as soluções da companhia na investigação da morte da vereadora Marielle Franco e do motorista dela, Anderson Gomes.
Comentar