Nenhuma conversa no celular é privada. Pode ter alguém ouvindo, mesmo sem conhecimento da operadora e sem autorização judicial. Na semana passada, houve mais uma revelação importante sobre as atividades de espionagem denunciadas por Edward Snowden. A Agência Nacional de Segurança (NSA, na sigla em inglês), dos Estados Unidos, e a Sede de Comunicações do Governo (GCHQ, na sigla em inglês), do Reino Unido, invadiram computadores da Gemalto e roubaram chaves criptográficas de chips de celular.

A holandesa Gemalto é a maior fabricante de chips para celular do mundo, com uma produção anual de cerca de 2 bilhões de unidades. Grandes operadoras, incluindo as brasileiras, são clientes da Gemalto. Uma das funções dos chips, também chamados de cartões SIM (sigla em inglês de Módulo de Identificação do Assinante), é garantir a privacidade dos usuários em suas chamadas e mensagens. As chaves criptográficas (que são códigos gravados nos chips) fazem com que, caso alguém intercepte a comunicação, não seja capaz de entender o conteúdo dela.

Em seus países, as agências de espionagem podem pedir à Justiça acesso a chamadas telefônicas. Em outros países, é mais difícil conseguir isso. Ao roubar chaves criptográficas dos chips, espiões americanos e britânicos conseguiram decodificar o conteúdo de comunicações móveis em qualquer lugar do mundo, passando por cima de operadoras e de governos estrangeiros. E passando por cima também do judiciário de seus países.

A revelação foi feita pelo site The Intercept, fundado pelo jornalista Glenn Greenwald. A reportagem cita um documento secreto de 2010 da GCHQ. A Gemalto foi pega de surpresa, e iniciou uma investigação interna. “Não podemos neste estágio inicial verificar as descobertas da publicação e não tínhamos conhecimento anterior de que essas agências conduziam essa operação”, informou a fabricante, em comunicado. “Encaramos essa publicação com muita seriedade e vamos dedicar todos os recursos necessários para investigar completamente e entender o escopo de técnicas tão sofisticadas.”

Documentos mostram que a GCHQ conseguiu roubar chaves criptográficas ao instalar software malicioso em vários computadores da Gemalto, usando como portas de entrada contas de correio eletrônico e de redes sociais de funcionários da empresa. A agência também atacou sistemas de autenticação e bilhetagem de operadoras celulares, para conseguir interceptar chamadas e esconder suas atividades de espionagem.

E como se proteger? Uma solução seria usar aplicativos com uma camada adicional de criptografia, como o WhatsApp ou o iMessage, da Apple. Outra seria trocar o chip. Mas, como a denúncia é nova, ainda não dá para saber se o chip novo também está comprometido.

Legalidade

As atividades da Equipe de Exploração de Aparelho Celular (MHET, na sigla em inglês), formada pela NSA e pela GCHQ, desrespeitaram as leis holandesas, ao invadir os computadores da Gemalto, e também leis de outros países, ao usar essas chaves para ter acesso a conversas telefônicas privadas. Já havia sido divulgado que o celular da chanceler alemã, Angela Merkel, foi alvo de espionagem. Segundo especialistas ouvidos por The Intercept, as chaves criptográficas roubadas permitem, por exemplo, que espiões coloquem um receptor no telhado da embaixada em Berlim e ouçam telefonemas que qualquer um fizer naquela área.

Mudança

As chaves criptográficas vêm gravadas de fábrica nos cartões SIM. Não é possível trocá-las. No caso de serem roubadas, só mudando o chip.

No Estado de hoje (“Insegurança móvel“, p. B10).

Siga este blog no Twitter e no Facebook.