Apple alerta desenvolvedor de exploração que seu iPhone foi alvo de spyware governamental

No início deste ano, um desenvolvedor ficou chocado com uma mensagem que apareceu em seu telefone pessoal: “A Apple detectou um ataque de spyware mercenário direcionado contra o seu iPhone”.

“Eu estava em pânico”, disse Jay Gibson, que pediu que não usássemos seu nome verdadeiro por medo de retaliação, ao TechCrunch.

Gibson, que até recentemente desenvolveu tecnologias de vigilância para Trenchant, fabricante de ferramentas de hacking do governo ocidental, pode ser o primeiro caso documentado de alguém que cria explorações e spyware sendo alvo de spyware.

“O que diabos está acontecendo? Eu realmente não sabia o que pensar disso”, disse Gibson, acrescentando que desligou o telefone e o guardou naquele dia, 5 de março. “Fui imediatamente comprar um telefone novo. Liguei para meu pai. Estava uma bagunça. Foi uma bagunça enorme.”

Na Trenchant, Gibson trabalhou no desenvolvimento de dia zero para iOS, o que significa encontrar vulnerabilidades e desenvolver ferramentas capazes de explorá-las que não são conhecidas pelo fornecedor que fabrica o hardware ou software afetado, como a Apple.

“Tenho sentimentos confusos sobre o quão patético isso é e, em seguida, medo extremo, porque quando as coisas atingem esse nível, você nunca sabe o que vai acontecer”, disse ele ao TechCrunch.

Mas o ex-funcionário da Trenchant pode não ser o único desenvolvedor de exploits alvo de spyware. De acordo com três fontes que têm conhecimento direto desses casos, houve outros desenvolvedores de spyware e exploit nos últimos meses que receberam notificações da Apple alertando-os de que foram alvo de spyware.

A Apple não respondeu a um pedido de comentário do TechCrunch.

O ataque ao iPhone de Gibson mostra que a proliferação de zero-day e de spyware está começando a atrair mais tipos de vítimas.

Historicamente, os fabricantes de spyware e de dia zero afirmam que suas ferramentas só são implantadas por clientes governamentais avaliados contra criminosos e terroristas. Mas, na última década, investigadores do Citizen Lab, grupo de direitos digitais da Universidade de Toronto, da Amnistia Internacional e de outras organizações, descobriram dezenas de casos onde os governos usaram estas ferramentas para atingir dissidentes, jornalistas, defensores dos direitos humanos e rivais políticos em todo o mundo.

Os casos públicos mais próximos de pesquisadores de segurança sendo alvo de hackers aconteceram em 2021 e 2023quando hackers do governo norte-coreano foram pegos visando pesquisadores de segurança que trabalhavam em pesquisa e desenvolvimento de vulnerabilidades.

Suspeito em investigação de vazamento

Dois dias depois de receber a notificação de ameaça da Apple, Gibson contatou um especialista forense com vasta experiência na investigação de ataques de spyware. Depois de realizar uma análise inicial do telefone de Gibson, o especialista não encontrou nenhum sinal de infecção, mas ainda assim recomendou uma análise forense mais profunda do telefone do desenvolvedor do exploit.

Uma análise forense implicaria enviar ao especialista um backup completo do dispositivo, algo com o qual Gibson disse não se sentir confortável.

“Os casos recentes estão ficando mais difíceis do ponto de vista forense, e alguns não encontramos nada. Também pode ser que o ataque não tenha sido totalmente enviado após os estágios iniciais, não sabemos”, disse o especialista ao TechCrunch.

Sem uma análise forense completa do telefone de Gibson, de preferência aquele em que os investigadores encontraram vestígios do spyware e quem o criou, é impossível saber por que ele foi o alvo ou quem o atacou.

Mas Gibson disse ao TechCrunch que acredita que a notificação de ameaça que recebeu da Apple está ligada às circunstâncias de sua saída de Trenchant, onde afirma que a empresa o designou como bode expiatório por um vazamento prejudicial de ferramentas internas.

A Apple envia notificações de ameaças especificamente quando tem evidências de que uma pessoa foi alvo de um ataque de spyware mercenário. Este tipo de tecnologia de vigilância é muitas vezes implantada de forma invisível e remota no telefone de alguém sem o seu conhecimento, explorando vulnerabilidades no software do telefone, explorações que podem valer milhões de dólares e podem levar meses para serem desenvolvidas. As agências de aplicação da lei e de inteligência normalmente têm autoridade legal para implantar spyware nos alvos, e não nos próprios fabricantes de spyware.

Sara Banda, porta-voz da L3Harris, controladora de Trenchant, se recusou a comentar esta história quando contatada pelo TechCrunch antes da publicação.

Um mês antes de receber a notificação de ameaça da Apple, quando Gibson ainda trabalhava na Trenchant, ele disse que foi convidado a ir ao escritório da empresa em Londres para um evento de formação de equipes.

Quando Gibson chegou em 3 de fevereiro, ele foi imediatamente convocado a uma sala de reuniões para falar por videochamada com Peter Williams, o então gerente geral de Trenchant, conhecido dentro da empresa como “Doogie”. (Em 2018, o empreiteiro de defesa L3Harris adquirido fabricantes de dia zero Azimuth e Linchpin Labs, duas startups irmãs que se fundiu para se tornar Trenchant.)

Williams disse a Gibson que a empresa suspeitava que ele tinha um duplo emprego e, portanto, o estava suspendendo. Todos os dispositivos de trabalho de Gibson seriam confiscados e analisados ​​como parte de uma investigação interna sobre as alegações. Williams não foi encontrado para comentar.

“Fiquei em choque. Não sabia como reagir porque não conseguia acreditar no que estava ouvindo”, disse Gibson, que explicou que um funcionário de TI da Trenchant foi ao seu apartamento para pegar o equipamento fornecido pela empresa.

Cerca de duas semanas depois, Gibson disse que Williams ligou e disse que, após a investigação, a empresa o estava demitindo e oferecendo-lhe um acordo e pagamento. Gibson disse que Williams se recusou a explicar o que a análise forense de seus dispositivos havia descoberto e, essencialmente, disse que não tinha escolha a não ser assinar o acordo e sair da empresa.

Sentindo que não tinha alternativa, Gibson disse que aceitou a oferta e assinou.

Gibson disse ao TechCrunch que mais tarde ouviu de ex-colegas que Trenchant suspeitava que ele havia vazado algumas vulnerabilidades desconhecidas no navegador Chrome do Google, ferramentas que Trenchant havia desenvolvido. Gibson e três ex-colegas dele, no entanto, disseram ao TechCrunch que não tinha acesso aos dias zero do Chrome de Trenchant, já que fazia parte da equipe que desenvolvia exclusivamente dias zero e spyware para iOS. As equipes Trenchant só têm acesso estritamente compartimentado às ferramentas relacionadas às plataformas em que trabalham, disseram as pessoas.

“Sei que fui um bode expiatório. Não fui culpado. É muito simples”, disse Gibson. “Eu não fiz absolutamente nada além de trabalhar duro por eles.”

A história das acusações contra Gibson e sua subsequente suspensão e demissão foi corroborada de forma independente por três ex-funcionários da Trenchant com conhecimento.

Dois dos outros ex-funcionários da Trenchant disseram conhecer detalhes da viagem de Gibson a Londres e estavam cientes de suspeitas de vazamento de ferramentas confidenciais da empresa.

Todos eles pediram para não serem identificados, mas acreditam que Trenchant se enganou.