A fabricante israelense de ferramentas de desbloqueio de celulares Cellebrite suspendeu a polícia da Sérvia como cliente no ano passado, após pesquisadores de direitos humanos alegarem que a polícia e agências de inteligência locais usaram suas ferramentas para invadir os telefones de um jornalista e um ativista e instalar spyware. A decisão, rara e pública, foi baseada em um relatório técnico da Anistia Internacional.
No entanto, diante de acusações recentes e similares de abuso no Quênia e na Jordânia, a empresa respondeu descartando as alegações e se recusando a se comprometer com investigações. A mudança de postura levanta questões sobre os critérios da Cellebrite para agir contra clientes que violam direitos humanos.
Novas denúncias no Quênia e Jordânia
Nesta terça-feira, pesquisadores do Citizen Lab da Universidade de Toronto publicaram um relatório alegando que o governo queniano usou ferramentas da Cellebrite para desbloquear o telefone de Boniface Mwangi, ativista e político local, enquanto ele estava sob custódia policial. Em janeiro, outro relatório do mesmo grupo acusou o governo jordaniano de invadir os telefones de vários ativistas e manifestantes locais usando as ferramentas da empresa israelense.
Em ambas as investigações, o Citizen Lab baseou suas conclusões na descoberta de vestígios de um aplicativo específico vinculado à Cellebrite nos telefones das vítimas. Os pesquisadores afirmam que esses vestígios são um sinal de "alta confiança" de que as ferramentas de desbloqueio da empresa foram usadas, pois o mesmo aplicativo foi encontrado anteriormente no repositório de malware VirusTotal, assinado com certificados digitais de propriedade da Cellebrite.
Resposta da Cellebrite é de descrédito
Questionado sobre os casos, Victor Cooper, porta-voz da Cellebrite, disse ao TechCrunch por e-mail que a empresa "não responde a especulações" e incentivou qualquer organização com preocupações baseadas em evidências a compartilhá-las diretamente. Sobre a diferença de tratamento em relação ao caso da Sérvia, Cooper afirmou que "as duas situações são incomparáveis" e que "alta confiança não é evidência direta".
O porta-voz não respondeu a múltiplos e-mails de acompanhamento perguntando se a Cellebrite investigaria o último relatório do Citizen Lab e quais seriam as diferenças com o caso sérvio. Para o relatório da Jordânia, a empresa disse que "qualquer uso comprovado de nossas ferramentas em violação dos direitos humanos ou da lei local resultará em desativação imediata", mas não se comprometeu a investigar.
Para o caso do Quênia, a Cellebrite apenas reconheceu o recebimento da consulta do Citizen Lab, mas não comentou, segundo John Scott-Railton, um dos pesquisadores envolvidos. "Instamos a Cellebrite a divulgar os critérios específicos usados para aprovar vendas às autoridades quenianas e a divulgar quantas licenças foram revogadas no passado", disse Scott-Railton.
Histórico de cortes e mercado global
Após relatórios anteriores de abuso, a Cellebrite, que afirma ter mais de 7.000 clientes de aplicação da lei em todo o mundo, cortou relações com Bangladesh, Mianmar, Rússia e Belarus durante 2021. A empresa também disse anteriormente que parou de vender para Hong Kong e China após regulamentações do governo dos EUA que restringem a exportação de tecnologias sensíveis. Ativistas locais em Hong Kong haviam acusado as autoridades de usar a Cellebrite para desbloquear telefones de manifestantes.
A postura atual da empresa, no entanto, sugere uma aplicação seletiva de seus próprios padrões de conduta. A falta de transparência sobre seus processos de due diligence e a relutância em investigar novas denúncias credíveis colocam em dúvida a eficácia de seus mecanismos de controle para prevenir abusos.