Cellebrite said it cut off Russia, but Russia used is tools anyway
As autoridades russas invadiram o celular de um proeminente opositor político enquanto ele estava sob custódia, utilizando tecnologia desenvolvida pela empresa de perícia forense Cellebrite — mesmo depois que a empresa havia afirmado ter cortado laços com as agências governamentais de Putin, de acordo com uma nova reportagem que levanta novas questões sobre se as empresas de tecnologia ocidentais podem realmente controlar como suas ferramentas são utilizadas depois que elas chegam ao mercado.
O caso serve de alerta para qualquer empresa de tecnologia que venda para governos. A Cellebrite, uma empresa israelense com uma segunda sede na Virgínia que vende para governos em todo o mundo — inclusive nos EUA —, havia anunciado que deixaria de fornecer hardware e software para a Rússia. Aparentemente, ela não cumpriu essa promessa, ou não conseguiu fazê-lo.
Pesquisadores do The Citizen Lab, grupo de direitos digitais sediado na Universidade de Toronto, afirmaram ter encontrado evidências de que uma unidade de investigação do governo russo utilizou uma ferramenta de invasão de celulares fabricada pela Cellebrite para invadir o iPhone do dissidente de direitos humanos e político da oposição local Andrey Pivovarov em junho de 2021.
Três meses antes desse ataque, a Cellebrite havia anunciado que deixaria de vender “imediatamente” sua tecnologia para clientes do governo russo. Em seu site oficial, a Cellebrite afirma que, a partir de março de 2021, quando cortou laços com o governo de Putin, a empresa “pode impedir que o dispositivo funcione ou receba atualizações de software”.
Não está claro por que isso não aconteceu neste caso, e o episódio expõe uma verdade incômoda sobre a tecnologia de vigilância: uma vez que tecnologias poderosas de hacking e vigilância chegam ao cliente errado, recuperá-las não é tão fácil. As ferramentas se proliferam, são utilizadas indevidamente e podem continuar sendo abusadas, muitas vezes muito tempo depois que a empresa que as fabricou já se desligou do cliente.
“Não é surpreendente, e [isso] é resultado das políticas da Cellebrite”, disse Eitay Mack, um advogado israelense de direitos humanos que há muito tempo faz campanha contra fabricantes de tecnologia de vigilância como a Cellebrite e a fabricante de spyware NSO Group.
Mack argumentou que interromper as vendas, e até mesmo revogar uma licença de software, não impede que um ex-cliente da Cellebrite abuse da tecnologia da empresa, como demonstra este caso. Mack também destacou que a Cellebrite se recusa a dizer se pede aos clientes que desinstalem as ferramentas de hacking que lhes vendeu, uma lacuna crítica que seus próprios anúncios de corte de relações não abordam.
Este caso, acrescentou Mack, sugere que ex-clientes ainda podem fazer uso indevido da ferramenta de desbloqueio de telefones da Cellebrite, chamada UFED, mesmo depois que a empresa deixa de oferecer suporte ao cliente e, presumivelmente, revoga sua licença de software. Em teoria, isso deveria tornar os dispositivos da empresa menos úteis.
John Scott-Railton, pesquisador sênior do Citizen Lab, disse ao TechCrunch que a Cellebrite “também deveria desativar remotamente as instalações após relatos confiáveis de abuso e pôr fim à era da negação plausível, implementando marcas d’água assinadas criptograficamente em todos os dispositivos copiados”. Em termos simples, a Cellebrite deveria ser capaz de desativar remotamente suas próprias ferramentas quando elas estiverem sendo utilizadas indevidamente e deveria incorporar uma espécie de impressão digital para que quaisquer dados extraídos com sua tecnologia possam ser rastreados até o dispositivo específico que foi utilizado.
A Cellebrite comercializa dispositivos de hardware projetados para desbloquear e invadir celulares conectados a eles. Ao longo dos anos, pesquisadores documentaram casos em que clientes da empresa utilizaram sua tecnologia contra dissidentes, ativistas de direitos humanos e jornalistas em Hong Kong, no Quênia e na Jordânia. Em resposta a algumas dessas descobertas, a Cellebrite cortou laços com Bangladesh, China e Hong Kong, Mianmar e Sérvia.
Em um e-mail enviado ao Citizen Lab, que foi compartilhado com o TechCrunch, o diretor de marketing da Cellebrite, David Gee, afirmou que a empresa “suspendeu todas as vendas e serviços à Federação Russa em março de 2021, rescindindo as licenças existentes e iniciando imediatamente a rescisão de todos os contratos legais. Qualquer uso de hardware antigo da Cellebrite na Rússia após março de 2021 é totalmente não autorizado.”
Gee, assim como o porta-voz da Cellebrite, Victor Cooper, não responderam a uma série de perguntas específicas enviadas pelo TechCrunch.
No caso de Pivovarov, os pesquisadores do Citizen Lab afirmaram ter encontrado evidências forenses em seu celular indicando que ele havia sido hackeado com o Cellebrite UFED, depois que as autoridades russas o detiveram e confiscaram seu iPhone 12 e MacBook em maio de 2021.
Pivovarov também compartilhou com os pesquisadores um documento judicial que recebeu como parte de seu processo. Nele, o Centro de Peritos Criminalistas do governo russo detalhou o uso do Cellebrite UFED para invadir seu celular, afirmando que as autoridades utilizaram o UFED para extrair dados, incluindo mensagens do WhatsApp e do Telegram. Eles também vasculharam o celular em busca de termos políticos, bem como de nomes de figuras da oposição, entre os quais estavam alvos do que os pesquisadores descreveram como supostas campanhas de hacking do governo russo.
Pivovarov era diretor do grupo de oposição “Open Russia”, hoje extinto. Posteriormente, ele foi condenado a quatro anos de prisão, antes de ser libertado em agosto de 2024 como parte de uma troca de prisioneiros entre a Rússia e países ocidentais que também libertou o repórter do Wall Street Journal, Evan Gershkovich.
A Embaixada da Rússia em Washington, D.C., não respondeu a um pedido de comentário.
