W pełni zaktualizowany telefon nie stanowi przeszkody dla exploita niewymagającego żadnego współdziałania ze strony użytkownika.
Broń nie tylko przeciwko „złym”
Smartfony należące do ponad trzydziestu dziennikarzy, obrońców praw człowieka i biznesmenów zostały zainfekowane oprogramowaniem szpiegującym, które sprzedaje izraelska firma, rzekomo w celu łapania terrorystów i przestępców.
Jak doniósł The Washington Post telefony zostały zainfekowane Pegasusem, w pełni funkcjonalnym oprogramowaniem szpiegującym opracowanym przez NSO Group. W ostatnich latach ten sprzedawca exploitów z siedzibą w Izraelu został poddany intensywnej kontroli po tym jak odkryto, że niektóre represyjne rządy (m.in. w Zjednoczonych Emiratach Arabskich czy Meksyku) wykorzystywały jego oprogramowanie przeciwko dziennikarzom, aktywistom i innym grupom zupełnie niezwiązanym z terroryzmem lub przestępczością.
Wektor instalacji
Pegasus jest często instalowany poprzez exploity typu zero-click, takie jak te wysyłane przez wiadomości SMS czy e-maile, które nie wymagają interakcji ze strony ofiar. Po tym jak taki exploit posłuży do potajemnego włamania się do jaila lub zrootowania iPhone'a czy urządzenia z Androidem, Pegasus natychmiast zasoby urządzenia. Kopiuje historie połączeń, wiadomości tekstowe, wpisy kalendarza i kontakty. Jest w stanie aktywować kamery i mikrofony zhakowanych telefonów, aby podsłuchiwać działania w pobliżu. Może również śledzić lokalizację obserwowanej osoby i kraść wiadomości z całkowicie zaszyfrowanych aplikacji służących do czatowania.
Poległ iPhone 12 z systemem iOS 14.6
Według badań przeprowadzonych wspólnie przez 17 organizacji, Pegasus zainfekował 37 telefonów należących do osób, które nie spełniają kryteriów, które według NSO Group są wymagane do użycia jego oprogramowania szpiegującego. Według The Washington Post ofiarami byli dziennikarze, działacze na rzecz praw człowieka, biznesmeni i dwie kobiety związane z zamordowanym saudyjskim dziennikarzem Jamalem Khashoggim. Analiza techniczna przeprowadzona przez Amnesty International i Citizen Lab Uniwersytetu w Toronto potwierdziła infekcje. Według Amnesty International:
Ataki Pegaza opisane w tym raporcie i towarzyszących mu załącznikach miały miejsce od 2014 roku aż do lipca 2021 roku. Obejmują one również tak zwane ataki „zero kliknięć”, które nie wymagają żadnej interakcji ze strony celu. Ataki typu zero-click są obserwowane od maja 2018 roku i trwają do tej pory. Ostatnio zaobserwowano udany atak zero-click na w pełni załatanego iPhone'a 12 z systemem iOS 14.6 w lipcu 2021 roku.
Dziwna lista
Wszystkie 37 zainfekowanych urządzeń znalazło się na opublikowanej w Internecie liście ponad 50 000 numerów telefonów. Nie wiadomo, kto umieścił na niej konkretne numery, dlaczego to zrobił i ile telefonów było faktycznie celem. Amnesty International i dziennikarska organizacja non-profit z siedzibą w Paryżu o nazwie Forbidden Stories miały dostęp do listy i udostępniły ją organizacjom prasowym, które przeprowadziły dalsze badania i analizy.
Reporterzy zidentyfikowali ponad 1000 osób w ponad 50 krajach, których numery znalazły się na liście. Ofiarami byli członkowie arabskiej rodziny królewskiej, co najmniej 65 biznesmenów, 85 działaczy na rzecz praw człowieka, 189 dziennikarzy oraz ponad 600 polityków i urzędników państwowych, w tym ministrów, dyplomatów oraz oficerów wojskowych i służb bezpieczeństwa. Dziennikarze z listy pracowali dla wiodących organizacji informacyjnych, w tym CNN, Associated Press, Voice of America, The New York Times, The Wall Street Journal, Bloomberg News, Le Monde we Francji, Financial Times w Londynie i Al Jazeera w Katarze.
NSO w ogniu krytyki nie od dziś
To nie pierwszy raz, kiedy NSO znalazło się pod międzynarodową krytyką, gdy znaleziono oprogramowanie szpiegujące Pegasus skierowane do dziennikarzy, dysydentów czy innych osób bez wyraźnych powiązań z przestępczością lub terroryzmem. Oprogramowanie szpiegujące NSO wyszło na jaw jeszcze w 2016 roku, kiedy Citizen Lab i zajmująca się bezpieczeństwem firma Lookout odkryli, że celem jest dysydent polityczny w Zjednoczonych Emiratach Arabskich Ahmed Mansoor.
Naukowcy ustalili wówczas, że wiadomości tekstowe wysyłane do tej osoby ze Zjednoczonych Emiratów Arabskich wykorzystywały trzy różne exploity zero-day na iPhone'a, mające na celu zainstalowanie Pegasusa na urządzeniu Mansoora. Mansoor przekazał wiadomości badaczom z Citizen Lab, którzy ustalili, że skutkiem mógł być jailbreak jego iPhone'a i instalacja Pegasusa na jego telefonie.