O parlamento australiano aprovou uma lei que obriga as grandes companhias tecnológicas a desenvolver atualizações personalizadas de software que permitam às autoridades ter acesso a mensagens encriptadas. Essa ferramenta funcionaria como se as autoridades pudessem “hackear” o telemóvel de um internauta. A atualização só seria dirigida aos telemóveis de pessoas suspeitas de terem cometido algum tipo de crime. Mas as companhias tecnológicas temem que possa ser roubada ou usada como janela de oportunidade em ataques informáticos, colocando em causa a privacidade dos internautas em todo o mundo.
De acordo com os argumentos apresentados no memorando do parlamento da Austrália, mais de 90% de todas as informações e telecomunicações legalmente intercetadas pela Polícia Federal Australiana escondem-se agora por trás de ferramentas de criptografia. Isso deve-se a um sistema chamado criptografia ponto a ponto, um recurso de segurança que cifra as mensagens para que apenas o emissor e o recetor as possam ler. Mesmo que essas mensagens sejam armazenadas pelo caminho, elas não podem ser desvendadas por mais ninguém.
O problema, dizem as autoridades, é que há “pessoas mal intencionadas que comunicam cada vez mais através de aplicações de mensagens com este tipo de segurança”. Isso já tinha sido detetado no passado, mas chegou a um ponto extremo em 2016, quando a Apple se recusou a obedecer às ordens do FBI para criar um novo software capaz de desbloquear o iPhone de um dos atiradores do ataque de San Bernardino. Na altura, a Apple argumentou que, se esse software fosse roubado, poderia ser usado para comprometer a privacidade de qualquer internauta e desvendar dados bancários, registos médicos ou documentos governamentais secretos, por exemplo.
Ainda assim, a Austrália foi avante com a lei, chamada “Assistance and Access Bill 2018”, mas com um detalhe: as empresas de comunicações não tinham de criar propriamente um software novo, mas sim incorporar atualizações personalizadas ao software de telemóveis em específico. A Austrália afirma que assim as ferramentas “não vão causar fraquezas sistémicas” ao modelo de privacidade do internauta comum. Portanto, as companhias tecnológicas vão ter de ceder ou então pagar uma multa de 10 milhões de dólares australianos — o equivalente a 6,3 milhões de euros, obriga a nova lei.
Essas atualizações personalizadas de software assemelham-se a um tipo de hacking chamado “ponto de escuta”. Por norma as mensagens estão protegidas por um conjunto de chaves digitais. Imagine que o João quer enviar uma mensagem à Joana através do WhatsApp. Quando o João envia essa mensagem, juntamente com ela segue uma chave privada que apenas o emissor conhece e que tem por objetivo encriptar o texto dessa mensagem. A encriptação pode ser feito de várias formas, desde baralhar as letras do texto a transformá-lo num código binário, por exemplo. Do outro lado está a Joana, que se tiver uma chave e receber corretamente a outra, então poderá ler a mensagem do João.
Este sistema pode ser corrompido se as companhias tecnológicas se empenharem em desenvolver as atualizações de modo a enfraquecer o software de um determinado telemóvel. Essas atualizações funcionam como um “ponto de escuta”, um tipo de hacking em que os atacantes — ou, neste caso, as autoridades australianas — passam a ser capazes de ler e armazenar os dados que deviam estar encriptados, mas sem a capacidade de os manipular. É como se estivesse ao telefone com alguém, mas houvesse uma terceira pessoa que está à escuta sem participar na conversa.
Num documento de sete páginas, a Apple admitiu temer as consequências dessa lei “perigosamente ambígua”: “Os dispositivos que temos contêm não apenas e-mails pessoais, informações de saúde e fotos, mas também são canais para corporações, infraestrutura e outros serviços críticos. Há infraestruturas vitais que se tornam mais vulneráveis quando dispositivos individuais são hackeados”.
De acordo com a companhia, telemóveis cujo software tenha as atualizações exigidas pela lei australiana podem ser janelas de oportunidades para quem queira aceder a infraestruturas sensíveis: “Os criminosos e terroristas que querem infiltrar-se em sistemas e corromper redes sensíveis podem iniciar os ataques entrando no smartphone da pessoa. Diante dessas ameaças, não é hora de enfraquecer a criptografia. Existe um risco profundo de tornar os trabalhos dos criminosos mais fáceis, não mais difíceis. Cada vez mais forte e não mais fraco. E a criptografia é a melhor maneira de proteger contra essas ameaças”.
O The Digital Industry Group Inc., um grupo que inclui grandes companhias tecnológicas como a Google, o Facebook, o Twitter ou a Amazon, também já reagiu em comunicado à aprovação dessa lei e sugere que ela pode “potencialmente comprometer a segurança das aplicações e sistemas que milhões de australianos usam todos os dias“. “Esta legislação está em desacordo com a legislação de vigilância e privacidade na Europa e outros países que têm fortes preocupações com a segurança nacional. Há diversas questões críticas que permanecem sem solução nesta legislação, mais significativamente a perspetiva de introduzir fraquezas sistémicas que poderiam colocar a segurança de dados dos australianos em risco”, avisou um porta-voz do Facebook em declarações à Reuters.
