Presidente-executivo do app de mensagens diz que achou equipamento da Cellebrite na rua e depois descobriu vulnerabilidades.
Recentemente, empresa responsável pelo sistema encontrou jeito de acessar dados do Signal. Serviços da companhia estão sendo usados no caso Henry Borel.
Moxie Marlinspike, fundador e presidente-executivo do Signal, aplicativo de mensagens rival do WhatsApp e conhecido por suas opções de segurança e privacidade, divulgou nesta quarta-feira (21) um texto em que expõe brechas em um dispositivo da Cellebrite usado por policiais para perícias e extração de dados de celulares.
Os serviços da Cellebrite tiveram destaque na investigação da morte do menino Henry Borel, de 4 anos.
A Polícia Civil do Rio de Janeiro utilizou os equipamentos da companhia para conseguir provas contra o vereador Dr Jairinho, padrasto do garoto, e a professora Monique Medeiros, mãe de Henry.
“Ficamos surpresos ao descobrir que pouco cuidado foi dado à própria segurança de software da Cellebrite”, escreveu Marlinspike em um texto no blog oficial do Signal.
Ele disse que encontrou uma maleta com o dispositivo “em uma caminhada na rua” e que ela continha um adaptador, diversos cabos e a versão mais recente do software da Cellebrite.
O executivo da Signal disse que o UFED (Dispositivo de Extração Forense Universal, em tradução da sigla em inglês) possui “diversas vulnerabilidades” que poderiam “adulterar o dispositivo escaneado e os dados que poderiam ser acessados” – o que poderia comprometer a integridade de perícias.
Segundo ele, essas brechas poderiam ser utilizadas para alterar relatórios passados e futuros realizados no dispositivo.
A equipe que analisou o produto descobriu que ele continha trechos de softwares da Apple, o que poderia “violar direitos autorais”.
O CEO do Signal disse estar disposto a revelar para a Cellebrite todas as falhas de segurança que encontrou, mas a empresa precisaria se comprometer revelar as brechas que usa para desbloquear celulares “agora e no futuro”.
Os detalhes do funcionamento do serviço da Cellebrite são um segredo comercial. Em dezembro passado, a empresa disse ter encontrado uma forma de acessar dados de mensagens do Signal, burlando medidas de segurança do aplicativo, que é famoso por elas.
Em uma mensagem cifrada no final do seu texto, Marlinspike disse que as futuras versões do Signal iriam “buscar arquivos para colocar no armazenamento do app” e que tais arquivos não teriam utilidade.
Nas entrelinhas, o executivo parece sugerir que a mudança terá impacto no funcionamento dos produtos da Cellebrite.
No Brasil, além do caso Henry Boral, a tecnologia da Cellebrite já foi usada no Brasil em perícias realizadas pela Lava Jato, segundo relatórios da Polícia Federal.
O próprio site da Cellebrite afirma que a PF também utilizou seus serviços na Operação Enterprise, que investigou tráfico internacional de drogas.
Em 2019, o Ministério Público do Rio de Janeiro conseguiu autorização da Justiça carioca para usar as soluções da companhia na investigação da morte da vereadora Marielle Franco e do motorista dela, Anderson Gomes.