Na última quinta-feira (29), pesquisadores do Google revelaram que o iOS tinha uma grave falha de segurança que permitia que um atacante acessasse praticamente todas as informações de um iPhone – e o pior, a vítima precisava apenas acessar um site infectado. Acontece que o Android e o Windows também foram afetados por vulnerabilidades semelhantes, de acordo com uma reportagem da Forbes. Há a suspeita de que a exploração da brecha tenha apoio estatal, principalmente para espionar a minoria étnica uigure na China.

O Threat Analysis Group do Google foi o primeiro time a descobrir o esquema (as primeiras notícias sobre a campanha foram publicadas na quinta-feira). Envolvia um pequeno grupo de sites que infectavam os dispositivos dos visitantes e garantia acesso a informações privadas, incluindo localização em tempo real e informações de aplicativos criptografados como WhatsApp, iMessage e Telegram. Esses sites estavam no ar há anos e os pesquisadores apontaram que eram acessados milhares de vezes por semana.

Em fevereiro, o Google notificou a Apple sobre 14 vulnerabilidades que eram exploradas pelos sites que hospedavam o malware. A empresa da maçã consertou as falhas em questão de dias, lançando o iOS 12.1.4 – nas notas de atualização havia menção a problemas com “corrupção da memória” que haviam sido consertados com “melhor validação de entradas”. A Apple não comentou publicamente sobre as descobertas do Google.

E embora o time do Google tenha relatado que usuários de iPhone tinham sido atingidos por esse ataque, fontes familiarizadas com o assunto disseram à Forbes que dispositivos que usavam os sistemas operacionais do Google e da Microsoft também foram alvo desses sites infectados. Ou seja: a escala potencial do ataque é inédita.

Não está claro se o próprio Google encontrou ou compartilhou evidências sobre vulnerabilidades em seu próprio sistema e na plataforma da Microsoft, nem se os atacantes utilizaram o mesmo método de ataque que era realizado nos iPhones – que envolvia a tentativa de tentar infiltrar códigos maliciosos nos celulares dos usuários durante a visita a sites infectados.

Um porta-voz do Google foi questionado sobre as novidades noticiadas, mas disse apenas que a companhia não tinha novas informações para revelar. O Gizmodo também entrou em contato com a Microsoft e irá atualizar essa nota se obtiver alguma resposta.

De acordo com uma reportagem do TechCrunch, com informações que posteriormente foram confirmadas pela Forbes, o ataque fazia parte de uma campanha ampla, com duração de dois anos, que tinha como objetivo vigiar a comunidade uigure, uma minoria muçulmana frequentemente perseguida pelo governo chinês.

No entanto, o Google destacou na divulgação do método que “simplesmente visitar um site infectado era o suficiente para atacar o dispositivo, e se tudo corresse com sucesso, instalar um implante de monitoramento”. É possível que pessoas que não fazem parte da minoria étnica tenham sido infectadas. Uma fonte disse à Forbes que os ataques podem ter sido atualizados com o passar do tempo para conseguir entrar em outros sistemas operacionais que correspondessem com as mudanças de uso da comunidade uigure.

Esta seria a mais nova de uma série de medidas repressivas contra o grupo étnico lançadas pelo governo chinês e alimentadas por alegações de que a remota região de Xinjiang é ameaçada por militantes e separatistas islâmicos. No ano passado, o país forçou 2 milhões de uigures e minorias muçulmanas a irem para “campos políticos de doutrinação”, de acordo com relatórios das Nações Unidas, levando mais de 20 países a pedir à China que ponha fim aos seus esforços de detenção em massa.

Cooper Quintin, tecnólogo do grupo de direitos digitais Electronic Frontier Foundation, disse à Forbes: