FBI pagou mais de um milhão de dólares para entrar no iPhone de San Bernardino
Telemóvel de um dos terroristas do ataque na Califórnia está no centro de uma polémica entre a Apple e o governo dos EUA. FBI desistiu do caso em tribunal e pagou a uma empresa que descobriu uma falha de segurança.
O FBI pagou mais de um milhão de dólares a uma empresa externa para conseguir entrar no iPhone usado por um dos terroristas que mataram 14 pessoas no condado de San Bernardino, na Califórnia, em Dezembro do ano passado.
Apesar de a quantia exacta continuar a ser um segredo de Estado, foi o próprio director do FBI, James Comey, quem fixou um limite mínimo, durante uma conferência sobre segurança organizada pelo Instituto Aspen em Londres.
Questionado pela moderadora sobre a quantia paga pelo FBI, Comey respondeu: "Muito. Mais do que o total dos meus salários até ao fim do meu mandato, que termina dentro de sete anos e quatro meses."
Sendo público que o director do FBI ganha 185.100 dólares por ano antes de impostos – e partindo do princípio de que o seu salário não irá variar até 2023 –, a empresa externa recebeu, no mínimo, um milhão e 350 mil dólares em troca do segredo para entrar no iPhone de Syed Farook, o norte-americano que lançou o ataque em conjunto com a sua mulher, Tashfeen Malik.
Pouco antes do ataque, Farook e Malik (que nasceu no Paquistão e passou a maior parte da sua vida na Arábia Saudita) prestaram juramento de fidelidade ao grupo extremista Estado Islâmico e acabaram por ser mortos pela polícia na perseguição e troca de tiros.
iPhone da discórdia
Durante as buscas, a equipa de investigação encontrou dois telemóveis destruídos que pertenciam ao casal e também um iPhone 5C intacto, mas com o código de bloqueio activado – um código com quatro dígitos que muitos utilizadores de smartphones definem para impedir que outras pessoas tenham acesso ao conteúdo dos seus aparelhos.
O telemóvel era usado por Farook mas pertencia ao Departamento de Saúde Pública do condado de San Bernardino, que era a sua entidade patronal.
Depois de ter perdido uma oportunidade para fazer uma cópia de segurança para o serviço iCloud de tudo o que estava no telemóvel em causa – por ter autorizado o condado de San Bernardino a alterar a palavra-passe da conta da Apple associada ao aparelho –, o FBI pediu a um tribunal que obrigasse a Apple a criar uma versão especial do seu sistema operativo iOS9.
O tribunal acedeu ao pedido do FBI e intimou a Apple a criar um programa que permitisse eliminar duas das principais medidas de segurança do telemóvel em causa, que estavam a impedir o FBI de ter acesso ao conteúdo – eliminar o limite de dez tentativas para acertar no código de desbloqueio e reduzir o tempo de espera entre cada tentativa.
Desta forma, o FBI poderia ligar o telemóvel a um computador e injectar milhões de combinações até descobrir a certa, sem correr o risco de que o sistema operativo apagasse tudo o que estava no telemóvel ao fim das dez tentativas permitidas de origem.
Na altura, o FBI argumentou que apenas a Apple poderia dar acesso ao telemóvel em causa, mas a empresa recusou-se a criar um programa de raiz que eliminasse as configurações de segurança, com o argumento de que esse programa poderia cair em mãos erradas e que poria em causa a segurança de todos os telemóveis do modelo 5C com o sistema operativo iOS9 – e não apenas o telemóvel usado por Syed Farook.
Apple acusa FBI de querer "o equivalente ao cancro dos programas informáticos"
Mas horas antes do arranque do julgamento, há menos de um mês, o FBI retirou a queixa contra a Apple e revelou que tinha conseguido entrar no telemóvel do terrorista com a ajuda de uma empresa externa. A polícia federal nunca revelou o nome da empresa e disse que pagou uma quantia única, mas as declarações de James Comey, na quinta-feira à noite, permitiram fazer a primeira estimativa oficial – pelo menos um milhão e 350 mil dólares.
Caçadores de falhas de segurança
A luta entre as empresas de tecnologia e as autoridades policiais e agências de espionagem criou um mercado de pequenas empresas especializadas em identificar falhas de segurança em sistemas operativos ou em sites como o Facebook, por exemplo, que são depois vendidas a várias fontes, incluindo às próprias empresas de tecnologia, para que depois possam tapar essas falhas de segurança. Mas nestes casos os valores costumam ser relativamente baixos, na casa das poucas centenas de milhares de dólares. Segundo especialistas em segurança informática, um valor superior a um milhão de dólares indica que o FBI não tem intenções de partilhar com a Apple a falha detectada nos modelos iPhone 5C com o sistema operativo iOS9.
"Estas recompensas são definidas por vários factores. O custo de manter uma falha em segredo é muito elevado. Quando se vende a um preço muito alto, tem de se estar confortável com a possibilidade de que a pessoa a quem se vende a falha possa vir a fazer algo malicioso", disse ao New York Times Alex Rice, co-fundador da empresa de segurança HackerOne – uma startup que se dedica precisamente a detectar falhas de segurança com o objectivo de melhorar a protecção de aparelhos, programas e sites.
Na mesma conferência organizada pelo Instituto Aspen o director do FBI reafirmou que a falha permite apenas entrar em modelos iPhone 5C com o sistema operativo iOS9 – os modelos mais recentes, como o 5S, o 6 e o 6S, têm uma protecção maior porque a introdução do código depende de uma acção combinada entre software (o sistema operativo) e hardware (um pequeno computador embutido no telemóvel, conhecido como Enclave de Segurança, que completa a chave para a entrada no telemóvel).
No caso do iPhone de Syed Farook, o FBI admitiu que ainda não encontrou nenhuma informação relevante para as investigações, mas diz que ainda tem esperanças de que os dados de localização possam contribuir para reconstituir os passos dos terroristas antes do ataque e nos minutos que se seguiram.