18 Dezembro 2017
A notícia de que os EUA e espiões britânicos haviam hackeado a fabricante de chips Gemalto em uma tentativa de roubar as chaves de segurança que protegem a privacidade de milhões de usuários de telefones móveis, deixou especialistas em segurança alarmados. A denúncia veio por parte de Edward Snowden e divulgada pelo The Intercept.
A Gemalto disse que mesmo com a invasão, os chips estavam seguros, e anunciou uma coletiva com a imprensa para relatar o que haviam descoberto em suas investigações sobre o caso. E nós estamos acompanhando o desenrolar da questão.
Hoje, a Gemalto disse, através do seu Chefe Executivo Olivier Piou, durante a coletiva em Paris, que procurou minimizar o impacto e descarta uma ação legal. Para a empresa, os fatos são difíceis de provar legalmente, e o processo seria caro, demorado e um tanto arbitrário.
Quantos códigos de segurança foram roubados, é algo difícil de dizer. Quantos têm sido utilizados, é ainda mais difícil.
Para Piou, entrar em contato com os EUA ou as agências de inteligência britânicas seria uma perda de tempo, e as chances de sucesso em uma ação legal são praticamente inexistentes. Todavia, a fabricante afirma que a invasão não poderia ter resultado em um roubo massivo de chaves de criptografia SIM.
Do outro lado da história, os envolvidos permanecem em silêncio. Um porta-voz da GCHQ disse que não faz comentários sobre assuntos de inteligência, e a NSA não pôde ser contatada para comentar o assunto.
A Gemalto confirmou que havia enfrentado muitos ataques em 2010 e 2011 e encontrado duas invasões particularmente sofisticadas, e que combinam com aqueles descritos no relatório do The Intercept.
Mas a fabricante diz que àquela altura, já havia sido "amplamente implementado um sistema de transferência de dados seguro", que torna difícil a obtenção das chaves. Apenas em raras exceções este esquema poderia ter resultado em roubo. Se esses casos raros vieram a ocorrer, a Gemalto afirma que a GCHQ e a NSA só seriam capazes de espionar as comunicações enviadas através de 2G. Conexões 3G e 4G não seriam vulneráveis ao método de ataque que as agências estariam usando.
Outra contradição apontada pela Gemalto referente ao documento do The Intercept, é de que a fabricante nunca vendeu cartões SIM para quatro das doze operadoras listadas na denúncia.
Além da coletiva à imprensa, a Gemalto publicou o seu relatório em seu site oficial.
Comentários