O Reino Unido desferiu um golpe significativo em sua guerra contra a criptografia na semana passada que, além de manchar os compromissos de privacidade meticulosamente elaborados da Apple, pode ter ramificações mundiais para as proteções de dados pessoais. E enquanto vários dias se passaram desde que a Apple retirou seu recurso de Proteção Avançada de Dados (ADP) dos clientes do Reino Unido, outros provedores de criptografia de ponta a ponta, como Meta, Signal e Telegram, ainda não tomaram uma posição oficial significativa, além de alguns de seus executivos postarem sobre isso nas redes sociais.
O Reino Unido pode ter estabelecido um precedente para outros governos globais seguirem quando, supostamente, ordenou que a Apple lhe desse acesso de backdoor aos dados do iCloud. Sob a Lei de Poderes de Investigação de 2016 (IPA), o governo britânico pode legalmente exigir que os dados dos usuários sejam entregues para fins de segurança nacional e prevenção de crimes. Isso aparentemente inclui acesso a dados em todo o mundo, mesmo que estejam fortemente criptografados.
Algumas dessas exigências seriam facilitadas por mudanças controversas que foram feitas na IPA em abril de 2024 para expandir suas capacidades de vigilância, como permitir que os serviços de inteligência acessem conjuntos de dados pessoais em massa mantidos por terceiros e que o governo do Reino Unido interfira em empresas de comunicações que desejam oferecer serviços de criptografia.
Não sabemos especificamente como a ordem do Reino Unido foi redigida. O Washington Post relatou que a Apple recebeu um “aviso de capacidade técnica” sob a IPA que exigia que ela criasse um “backdoor” para seu serviço iCloud que fornecesse “capacidade abrangente para visualizar material totalmente criptografado, não apenas assistência para quebrar uma conta específica.”
Isso pode ser uma interpretação da ordem. De acordo com o ministro de estado do Home Office, Dan Jarvis, um aviso de capacidade técnica em si não exige que informações específicas sejam divulgadas. Em vez disso, força as empresas “a terem a capacidade de responder a um mandado ou autorização individual.” Em outras palavras, impede os operadores de terem tecnologia em vigor — como serviços de criptografia total com acesso apenas do usuário — que poderia bloquear o Reino Unido de espionar quando escolher.
A ordem dada à Apple é considerada a primeira exigência desse tipo desde que a IPA foi atualizada no ano passado. Não sabemos se outras empresas receberam ordens semelhantes porque é ilegal reconhecer publicamente se receberam uma. A Grã-Bretanha projetou insidiosamente sua guerra contra a criptografia de dados para acontecer quase inteiramente atrás de portas fechadas. A Apple pode apelar da decisão em segredo, mas não pode revelar se a ordem existe. Ela não pode nem mesmo dizer se está cumprindo. A única razão pela qual sabemos sobre a ordem é porque foi vazada para o Washington Post.
O departamento do Home Office britânico também não confirmará nem negará seu envolvimento. A declaração que deu ao The Verge disse: “Não comentamos sobre assuntos operacionais, incluindo, por exemplo, confirmar ou negar a existência de quaisquer avisos desse tipo.”
Em vez disso, a empresa com sede em Cupertino, Califórnia, retirou sua ferramenta de segurança de dados de mais alto nível do país sem explicação após a publicação do artigo do Washington Post. O recurso ADP expande a criptografia de ponta a ponta fornecida em senhas, dados de saúde e informações de pagamento para incluir unidades e backups do iCloud, Notas, Fotos, gravações de voz e mais.
“O governo do Reino Unido colocou a Apple em uma posição insustentável ao exigir um backdoor na criptografia de ponta a ponta no iCloud para usuários em todo o mundo”, disse Andrew Crocker, diretor de litígios de vigilância da Electronic Frontier Foundation (EEF), ao The Verge. “A decisão da Apple de desativar o recurso para usuários do Reino Unido pode ser a única resposta razoável neste momento, mas deixa essas pessoas à mercê de agentes mal-intencionados e as priva de uma tecnologia essencial para a preservação da privacidade.”
Dado que o Reino Unido supostamente exigiu acesso global aos dados, não está claro se retirar o ADP do país apaziguou a ordem. No entanto, isso removerá alguns obstáculos que impedem o governo do Reino Unido de espionar seus próprios cidadãos, o que, como observa Crocker, torna as pessoas “menos seguras” contra potenciais ameaças de segurança e “menos livres.” A Apple já havia ameaçado retirar recursos de segurança do mercado do Reino Unido quando se opôs ao projeto de lei da IPA, mas a decisão de fazê-lo ainda atraiu críticas por conflitar com a imagem que construiu em torno de ser um defensor autoproclamado dos direitos de privacidade.
A retirada do ADP pela Apple pode ser interpretada como um chamado para quebrar um silêncio intencionalmente elaborado em torno dos esforços agressivos da Grã-Bretanha para esmagar os serviços de criptografia de ponta a ponta. É um chamado que outros provedores de serviços de criptografia parecem não estar respondendo, no entanto. Meta, Signal e Telegram não fizeram anúncios sobre seus próprios serviços que oferecem criptografia total e não responderam aos nossos pedidos de comentário sobre a situação. Seu silêncio e a disponibilidade contínua de recursos de criptografia no Reino Unido sugeririam que nada está errado.
Thorin Klosowski, um ativista de segurança e privacidade da EEF, diz que este é provavelmente o caso porque os serviços de criptografia fornecidos pela maioria das empresas de comunicações não são tão amplos quanto a oferta ADP da Apple.
“Poucas empresas oferecem algo exatamente como a Proteção Avançada de Dados, e, como está, a Apple está dizendo que acredita que ainda pode oferecer a criptografia de ponta a ponta do iMessage”, disse Klosowski ao The Verge. “Se a história servir de indicação, se a criptografia de ponta a ponta de outros aplicativos de comunicação, como Signal ou WhatsApp, fosse alvo, essas empresas fariam barulho sobre isso.”
“Poucas empresas oferecem algo exatamente como a Proteção Avançada de Dados.”
WhatsApp e Signal já ameaçaram deixar o Reino Unido se seus serviços fossem forçados a enfraquecer os padrões de criptografia sob o projeto de lei de Segurança Online do país. O chefe do WhatsApp, Will Cathcart, também comentou diretamente sobre a situação do Reino Unido versus Apple nas redes sociais, mas nem o WhatsApp nem sua empresa-mãe, Meta, forneceram uma declaração oficial.
“A criptografia é absolutamente crítica para manter as pessoas seguras, e os governos devem encorajá-la”, disse Cathcart no X. “Proibir a criptografia é um presente perigoso para hackers e governos estrangeiros hostis.”
A maior parte da indignação não veio de empresas em risco, mas sim de grupos de direitos de privacidade e oficiais do governo. Os EUA também estão investigando se o aviso da Apple do Reino Unido violou o Ato CLOUD, um acordo entre os dois países que proíbe um do outro de emitir exigências por dados de cidadãos.
“Se uma empresa oferecesse um backdoor sem que seus clientes soubessem, isso seria uma violação massiva de privacidade e confiança”, disse Klosowski. “Mesmo tomado em seu valor de face, esses tipos de backdoors colocam todos em risco de hacking, roubo de identidade e fraude, porque não há como garantir que apenas os ‘bons’ teriam acesso. Como vimos no passado, agentes mal-intencionados encontrarão uma maneira de entrar nesses backdoors.”
As ramificações completas da decisão da Apple de retirar o ADP do Reino Unido ainda não se desenrolaram. A Grã-Bretanha não é a única nação que tem um problema com a criptografia de ponta a ponta — vários países da UE e outros membros da aliança “Five Eyes” expressaram interesse em enfraquecer o método de segurança, argumentando que isso dificulta os esforços para combater material de abuso sexual infantil e atividades criminosas.
Essa situação pode ser vista como um teste bem-sucedido dos poderes de vigilância excessivos do Reino Unido que podem inspirar outros governos a adotar a mesma abordagem. Os EUA e a Austrália já propuseram leis com poderes semelhantes aos avisos de capacidade técnica da IPA, e os EUA, em particular, tentaram e falharam em abrir a segurança do usuário da Apple antes.
A menos que uma empresa impactada por esses avisos ouse violar ordens de silêncio legalmente vinculativas, a IPA pode forçar os alvos a fornecer acesso de espionagem secreto ou forçá-los a remover as barreiras que instalaram para impedir que isso aconteça em primeiro lugar. De qualquer forma, eles não têm nada a perder — nós temos.