As Origens Contenciosas do GrapheneOS: Um Mergulho Profundo na Mais Intrincada Disputa de Segurança Móvel
**GrapheneOS**, renomado como um padrão ouro em segurança móvel, possui um histórico tão complexo quanto seu código. Este artigo investiga a relação fraturada entre suas figuras-chave e as batalhas subsequentes que moldaram a trajetória do projeto.
Há muito amor em todo o mundo por **GrapheneOS**, o padrão ouro da segurança móvel. Há muito pouco amor entre os dois caras no centro de sua história.
É difícil encontrar muita informação sobre **Daniel Micay** online. Pesquise por ele no Google e você encontrará uma conta impessoal no X e uma página deserta no LinkedIn, além de algumas "exposições" no YouTube e guerras de atrito no Reddit e HackerNews que o caracterizam de tudo, desde um defensor da privacidade a um visionário da cibersegurança, a um déspota. Enquanto isso, Claude o descreve como um "formidável pesquisador independente de segurança móvel" que é "amplamente descrito como socialmente abrasivo" (para o que quer que isso valha). "Tudo o que posso dizer sobre Daniel é que ele mora no Canadá", diz **Dave Wilson**, o gerente de comunidade do GrapheneOS, uma ferramenta de privacidade mundialmente famosa e o projeto atual de Micay.
Dentro da comunidade de cibersegurança, a mitologia em torno de Micay vai além da celebridade. Ele poderia ser um fantasma ou uma espécie de egregore, como **Satoshi Nakamoto** ou **Ned Ludd**. Fãs analisam fragmentos de informações biográficas; inimigos atacam suas conquórias técnicas. Quem *é* Daniel Micay? O que ele realmente quer? Quando escrevi para o e-mail listado no site do GrapheneOS, recebi uma resposta no mesmo dia: "A equipe como um todo ficaria feliz em receber perguntas e respondê-las em conjunto, de forma coletiva. Como tal, quaisquer respostas seriam da 'equipe GrapheneOS' e não diretamente de Daniel Micay." Interessante. Então, entrei em contato com o próprio Micay — via LinkedIn, de todos os lugares. Ele recusou meu pedido de entrevista oficial, citando preocupações de segurança. Desde então, soube que ele tem 28 anos.
Conversei longamente com o ex-sócio de Micay, **James Donaldson**, e contra os desejos do advogado de Donaldson. Também conversei com associados de Micay. Ao longo de muitos meses, surgiu um retrato de algo menos que um mito, mas talvez mais do que um homem — e um que iria a extremos para proteger seu legado.
"Ele era um cara engraçado", disse Donaldson. Note o tempo verbal passado.
Donaldson afirma que conheceu Micay pela primeira vez entre 2011 e 2013, quando Micay se juntou ao Toronto Crypto, um pequeno grupo que ocasionalmente se reunia para conversar sobre criptografia tomando cerveja. (Através de sua equipe atual, Micay contesta isso. Ele diz que conheceu Donaldson em 2014 e nunca se juntou oficialmente ao grupo.) Na época, Micay era um pesquisador de segurança e desenvolvedor de código aberto com interesse no espaço móvel em rápido crescimento.
Micay poderia ser, segundo Donaldson, um tanto reservado. Ele tinha um senso de humor peculiar e só se manifestava quando algo técnico surgia. Donaldson lembrou de uma vez em que um troll invadiu o chat do grupo de criptografia e lhes deu a tarefa aparentemente impossível de descriptografar uma série de mensagens. Micay o fez com entusiasmo e facilidade. "Tenho um talento para entender as pessoas muito cedo", disse Donaldson, "e eu sabia que esse cara era brilhante." (Através de sua equipe, Micay afirma não ter lembrança deste evento.)
Donaldson, agora com 42 anos, é um hacker autodidata que nunca terminou a escola, ficou brevemente desabrigado e passou a maior parte de seus vinte anos em uma "banda punk hardcore positiva". "É legal ser inteligente", ele me disse. "Mas se você não consegue pagar suas contas, você é um idiota." Ele viu uma oportunidade de ganhar dinheiro com o Android, que então controlava 80% da base de usuários de smartphones. Como o sistema operacional era um ecossistema descentralizado e de código aberto que parecia priorizar o apelo comercial e a adoção em massa em detrimento da segurança, o Android — com sua infinidade de vulnerabilidades — havia sido comparado a um queijo suíço. (Isso contrastava notavelmente com o jardim murado mais seguro do iOS da **Apple**.) Donaldson não sabia como consertar esses buracos sozinho, mas agora ele conhecia alguém que poderia.
### O Nascimento do CopperheadOS
O domínio "Copperhead.co" foi registrado por Donaldson em 2014 e incorporado em 2015 sob os nomes de Donaldson e Micay. A ideia era que as ações seriam divididas igualmente, com Donaldson como CEO e Micay como diretor de tecnologia de fato. Seu produto principal, **CopperheadOS**, era um sistema operacional de código aberto que se concentrava em algo chamado "hardening" do Android. Assim como construir uma fortaleza e cavar fossos ao redor de um castelo, "hardening" (endurecimento) de um software o torna mais difícil para os hackers obterem acesso. No caso do CopperheadOS, isso significava proteger dados móveis adicionando camadas de segurança sobre o sistema operacional Android padrão. (Micay alegou em documentos judiciais que já estava trabalhando no hardening do Android antes de conhecer Donaldson e que concordou com a parceria sob o entendimento explícito de que manteria o controle sobre o sistema operacional resultante.)
O CopperheadOS foi um sucesso instantâneo e um dos primeiros de seu tipo — poucos outros estavam prestando atenção à segurança móvel na época. Um ano após seu lançamento, **Chris Soghoian**, então tecnólogo principal na **American Civil Liberties Union**, chamou o CopperheadOS de "a coisa mais emocionante acontecendo no mundo da segurança do Android". Grupos de defesa de código aberto como o **Guardian Project**, bem como a alternativa à loja **Google Play**, **F-Droid**, começaram a solicitar parcerias. Em 2018, o CopperheadOS foi apresentado em *2600: The Hacker Quarterly*.
No verdadeiro estilo de startup, Donaldson assumiu todos os tipos de trabalhos de TI ecléticos nos primórdios da empresa — consertando impressoras, recuperando sites WordPress hackeados — para ajudar a financiar o trabalho de Micay no sistema operacional. "Eu mantenho Daniel longe do mundo normal para que ele possa ficar por aí e hackear o Android", disse Donaldson em uma entrevista de 2017 com a Crypto Tech Solutions. "Eu sei quando sair do caminho." Na mesma entrevista, Donaldson brincou comparando-se a **Erlich Bachman**, o incubador cavalheiro de *Silicon Valley* da **HBO**. Ele acreditava que sua capacidade de preencher a lacuna entre os tecnicamente versados e os com mentalidade de negócios seria o que tornaria o Copperhead bem-sucedido.
Enquanto Donaldson fazia entrevistas como o rosto da operação, Micay ficava frequentemente trancado no que Donaldson chamava de "torre de mago", caçando vulnerabilidades no Android e corrigindo-as no CopperheadOS. Micay também passava tempo resolvendo problemas para a base de usuários. Como um purista de código aberto — ele era um colaborador de longa data de projetos como **Arch Linux** e a linguagem de programação **Rust** da **Mozilla** — Micay parecia sentir o dever de apoiar qualquer pessoa interessada no projeto. Mesmo que isso fosse às custas de seu próprio bem-estar. Era crucial para ele que todos tivessem acesso gratuito à segurança móvel.
Mas esses valores começaram a divergir dos de Donaldson. Por um lado, Donaldson ainda se considerava uma espécie de rebelde hacker. Em um ponto,