Ficou fácil hackear smartphone, diz ativista que expôs Deutsche Telekon
ÉPOCA – 14/06/2019
Malte Spitz, em depoimento a Helena Borges
Vivo em Berlim, cidade em que nasci em 1984. No final daquela década, milhares de pessoas foram às ruas protestar por mudanças. Berlim estava dividida ao meio — metade era capitalista e democrática; metade era comunista e autocrática.
Pense nos milhares de pessoas protestando perto do Muro de Berlim em 1989. E se cada uma daquelas pessoas tivesse um smartphone? E se a Stasi, a temida polícia secreta alemã, tivesse acesso aos dados de cada uma das pessoas que estavam naquele local? Se soubesse para quem elas ligaram, quem recebeu mais chamadas, a que horas foram feitas as ligações… A Stasi conseguiria determinar, por exemplo, quem eram os líderes do movimento. Se isso tivesse acontecido, possivelmente o muro não teria caído e Berlim continuaria dividida até hoje.
Para quem você ligou; quem ligou para você; para quem você mandou e-mails; de quem você recebe mensagens eletrônicas; o exato momento em que você usa seu celular e onde. Na Europa, tudo isso fica registrado e guardado por um período de seis meses a dois anos pela empresa de telefonia e internet desde que, no verão de 2006, a comissão da União Europeia baixou a Norma de Retenção de Dados.
Quando baixaram essa regra, me perguntei: “Será que isso realmente funciona?”. Então fui à Deutsche Telekom (DT), a companhia telefônica que eu tinha contratado. Naquela época, a DT era a maior empresa de telefonia móvel da Alemanha. Precisei processá-los para ter acesso aos dados.
A Corte alemã decidira que a implementação da Norma da União Europeia era inconstitucional dentro do território nacional. Então consegui um acordo: eu abriria mão do processo se eles me dessem os dados que eu estava pedindo. Recebi então um CD no qual estavam arquivadas 35.830 linhas de código.
Para quem não entende de programação, era apenas uma massa de dígitos. Minha primeira reação foi pensar: “Ok, é um arquivo enorme”. Essas 35.830 linhas de código representavam seis meses de minha vida. Com esses dados, uma pessoa que entende de análise de dados consegue saber onde estive, onde dormi, que lugares frequentei, a que horas e em que dias.
Transformamos essas 35.830 linhas de código em um diário de seis meses de minha vida. Fizemos de uma forma que mesmo uma pessoa que não saiba programação consiga entender. Tem um mapa, você consegue dar zoom, consegue acompanhar o curso cronológico, ver cada passo que dei. Dá para ver meu trajeto de trem entre Frankfurt e Colônia ( cidades alemãs ) e quantas ligações fiz no caminho.
Como isso foi possível? Toda vez que você faz uma ligação ou que um aplicativo é aberto em seu smartphone, um pacote de dados é trocado entre seu celular e a empresa de telefonia. Quando pedi os dados pela primeira vez, em 2009, recebi as mais de 35 mil linhas de código equivalentes a seis meses. Hoje, dez anos depois, tenho um smartphone mais novo, com vários aplicativos instalados, e 35 mil linhas de código é o volume de dados que produzo em apenas um mês.
As empresas não têm acesso ao conteúdo de suas mensagens ou de seus e-mails, mas conseguem informações de quais sites você tem visto em seu smartphone. De qualquer forma, acessar o conteúdo de um smartphone específico se tornou cada vez mais fácil nos últimos anos. É possível hackear um celular e obter até as fotos que estão salvas nele, por exemplo.
Entre as informações a que as empresas têm acesso, a mais preocupante nem é a localização via GPS, mas os chamados metadados telefônicos. Por exemplo: primeiro ligo para minha mulher, depois ela me liga de volta; uma conexão foi registrada e fortalecida nesses dois momentos. Fazemos algumas ligações entre nós durante um período determinado, o que mostra que somos próximos. Nesse mesmo período, ligamos para amigos e colegas de trabalho, cada um com uma frequência específica. E esses amigos ligam uns para os outros.
Tudo isso fica registrado, formando uma rede. Nessa rede, é possível ver o padrão de comunicação entre as pessoas, quais conexões são mais fortes que as outras. A que horas, por exemplo, o usuário de uma linha telefônica específica costuma entrar em contato com determinada pessoa, a que horas esse mesmo usuário dorme e a que horas ele acorda. Quem é o líder de um grupo social, aquele com o qual todos se conectam? Você consegue ver isso.
Quem tem acesso a essas informações tem uma visão privilegiada do que a sociedade, como um todo, está fazendo. Vou além: quem tem acesso a essa informação consegue controlar a sociedade.
Se você não quiser ser rastreado, será necessário, no mínimo, um celular sem acesso à internet, como um daqueles celulares bem clássicos, que só conseguem mandar mensagens de texto e fazer ligações. Ainda assim, toda vez que você fizer ligações ou mandar mensagens, a operadora vai levantar informações. Agora, se você tiver um smartphone, isso acontece praticamente o tempo inteiro.
Mesmo que tenha um telefone antigo, um que não tenha GPS, é possível saber onde você está pela área de cobertura. A partir dos dados das antenas, é possível determinar sua localização com uma taxa de erro de 80 a 50 metros.
É ainda mais assustador se pensarmos que isso acontece com todos nós. Todo celular no mundo está coletando informações. Acredito que em outros países é possível que essa coleta — diferentemente do que acontece na Europa — possa ser feita por muito mais tempo, até uns cinco anos. Esse é um problema global. As operadoras estão tendo acesso a informações sensíveis e estão vendendo dados de centenas de pessoas.
Imagine essas informações nas mãos de governos como o do Irã ou o da China. E não são apenas as empresas de telefonia. Na Alemanha também estamos processando companhias aéreas que passam informações sobre seus clientes para a polícia. Se você estiver voando dentro da União Europeia ou para fora, a companhia está coletando inúmeras informações.
Você pode me dizer: “Tudo bem, eu não tenho nada a esconder”. O que acha, então, de escrever um diário com todos os detalhes de sua vida e publicar isso de forma completamente aberta para qualquer um ler? Você fica confortável com essa ideia?
Por mais que você seja um “cidadão de bem” e viva de acordo com a lei, todos nós temos direito à privacidade. Imagine que alguém saiba quando você vai ao médico, ou à terapia, ou à academia. Seria possível descobrir com que frequência você vai a esses lugares e onde ficam.
Se toda segunda-feira seu celular se encontra em determinado ponto entre as 20 horas e as 22 horas, é possível que aquela seja a casa de alguém íntimo. Quem é essa pessoa? Com quem ela se conecta? Os departamentos de polícia poderiam ter acesso a esses dados, ou as informações poderiam ser hackeadas, ou até vendidas pela própria operadora, como mercadoria. Isso não acontece na Alemanha, mas sabemos que nos Estados Unidos e no México as empresas de telefonia as estão vendendo.
As empresas sabem dizer que aparelho telefônico você tem e qual seu plano contratado. A partir disso já dá para ter uma noção de seu poder aquisitivo. Adicione a isso a noção de que lugares você frequenta a que horário, em quais dias. Tudo isso coloca você como público-alvo de determinada campanha publicitária, por exemplo. Você se sente confortável com isso?
Hoje pode não parecer uma ameaça. Poderá, entretanto, tornar-se algo gravíssimo no futuro próximo
*Malte Spitz veio ao Brasil a convite da Fundação Heinrich Böll Brasil.