Por Redação O Sul | 19 de março de 2023
A Agência Nacional de Telecomunicações (Anatel) abriu uma investigação interna sobre o “FirstMile”, programa usado de forma sigilosa pela Agência Brasileira de Inteligência (Abin) para monitorar a localização de qualquer pessoa por meio do número de telefone celular. Segundo pessoas com acesso à tecnologia, essa ferramenta só funciona porque explora uma brecha antiga no sistema de telecomunicações do país que permite violar a privacidade de clientes das operadoras de telefonia.
A revelação do uso do programa secreto levou à abertura de investigações no Ministério Público Federal, na Polícia Federal, no Tribunal de Contas da União e na Controladoria-Geral da União, mas também jogou luz sobre as fragilidades do sistema de telecomunicações no Brasil em relação à privacidade de seus usuários.
Desenvolvido pela empresa israelense Cognyte (ex-Verint), esse tipo de rastreamento é feito a partir de dados transferidos do celular para torres de telecomunicações instaladas em diferentes regiões, as chamadas Estação Rádio Base (ERB). Ao obter essas informações, que deveriam ser de acesso exclusivo das operadoras, o programa oferecia aos agentes da Abin opções para que um alvo fosse monitorado em tempo real, com informações sobre seus deslocamentos, ou por área, que permitia a criação de alertas quando entrasse ou saísse de uma zona pré-definida pelo operador da Abin.
Ou seja, seria possível receber alertas sempre que uma pessoa espionada estivesse na Avenida Paulista, em São Paulo, ou, por exemplo, na região do Palácio da Alvorada, em Brasília. Como a utilização do programa pela Abin era sigiloso, e não há previsão legal de como ele deve ser utilizado, ainda não é possível saber quem foram os alvos monitorados pela agência.
Falha no sistema
Especialistas confirmaram a vulnerabilidade no sistema de telecomunicações que permite esse tipo de monitoramento. Por se tratar de uma solução privada, a Cognyte não revela detalhes de seu funcionamento. Entretanto, documentos públicos e investigações ao redor do mundo sobre o sistema usado apontam para o fato de que a companhia lucrava no Brasil aproveitando a falha.
“O sistema viola as expectativas de privacidade dos usuários dos serviços de telecomunicações, que são assegurados pelas regulamentações do setor. Portanto, é imperativo que a Anatel produza um relatório técnico sobre a ilicitude desse tipo de ataque e recomende a não contratação desse tipo de serviço”, afirma Rafael Zanatta, diretor da Data Privacy Brasil.
A entidade enviou um ofício ao MPF pedindo a investigação de exploração ilícita da vulnerabilidade. Zanatta destaca ainda que apenas autoridades de telecomunicações de países autoritários, como Myanmar e Sudão, permitem que esses dados sigilosos sejam acessados por programas externos como o “FirstMile”.
Acessos externos
O nome técnico do mecanismo é “Sistema de Sinalização Nº 7”, ou SS7. Esse protocolo, na prática, é como se fosse a internet das operadoras de telefonia, usado por todas as empresas que oferecem linhas de celulares. É por meio dele que um celular da operadora A consegue ligar para outro da operadora B. É só quando isso ocorre, por exemplo, que a ligação começa a “chamar”.
O que Lucs Teixeira, especialista em segurança digital Teixeira e outros profissionais descobriram é que o que era para ser usado internamente entre as operadoras estava aberto também para requisições de acesso vindas de servidores externos.
“Se você paga o suficiente, você consegue emitir comandos internos para conseguir informações sobre outros aparelhos, o que inclui a possibilidade de fazer pedidos de localização, mas não somente isso”, explicou Teixeira.
De acordo com a Anatel, a Lei Geral de Telecomunicações e demais normas da telefonia em vigor preveem que as operadoras de telefonia devem utilizar recursos tecnológicos necessários para assegurar a inviolabilidade do sigilo das comunicações.
“Quanto ao caso concreto questionado, informa-se que a agência não teve ciência anterior sobre o serviço de monitoramento empenhado pela Agência Brasileira de Inteligência e que iniciou a apuração do caso”, diz a Anatel, em nota.
