Pegasus è un sofisticato spyware che ha messo in seria difficoltà iOS evidenziandone tre vulnerabilità, Apple è già corsa ai ripari. A darne notizia Citizen Lab, Università di Toronto, e Lookout nota società di sicurezza mobile.
Ancora una minaccia per iOS, questa volta il bersaglio sono profili di alto livello. A dare l’allarme, infatti, è stato Ahmed Mansoor riconosciuto a livello internazionale per i diritti umani degli Emirati Arabi Uniti. Il 10 e 11 agosto, ha ricevuto messaggi di testo che promettevano informazioni “segrete” su detenuti torturati nelle carceri degli Emirati con un link su cui cliccare. Mansoor, che aveva già subito altri tentativi di attacco, ha capito che c’era qualcosa di strano ed ha inviato i messaggi ai ricercatori di Citizen Lab.
I ricercatori hanno scoperto la presenza della triplice falla e il tentativo di attacco da parte del gruppo NSO con base ad Israele. Citizen Lab ha collaborato con Lookout per determinare i collegamenti che hanno portato ad una catena di exploit zero-day che avrebbero preso possesso dell’iPhone di Mansoor tramite jailbrake e installato sofisticati malware.
Questo avrebbe consentito di poter usufruire dell’iPhone di Mansoor in tutto e per tutto, dall’attivazione della fotocamera alla lettura delle chat di messaggistica come Whatsapp e Messenger. La vulnerabilità zero-day, se sfruttata, forma una catena di attacchi che sovverte l’ambiente di sicurezza di Apple. Citizen Lab e Loookout hanno lavorato con il team di sicurezza di Apple per risolvere le tre le vulnerabilità, chiamate Trident, ed è stata rilasciata la patch in iOS 9.3.5.
Trident è utilizzato in un prodotto spyware chiamato Pegasus, sviluppato da un’organizzazione chiamata NSO. NSO Group è un’organizzazione israeliana acquisita da una società statunitense specializzata in “guerra cibernetica“.
Nel suo rapporto, Citizen Lab mette in luce come gli aggressori abbiano preso di mira un difensore dei diritti umani con spyware, fornendo la prova che i governi molestano digitalmente presunti nemici, tra cui attivisti, giornalisti e attivisti per i diritti umani. Nel suo rapporto, Lookout offre uno sguardo tecnico approfondito sull’attacco mirato che viene attivamente utilizzato contro gli utenti iOS in tutto il mondo.
Pegasus è il più sofisticato attacco che abbiamo visto su qualsiasi endpoint, affermano i ricercatori di Citizen Lab, perché sfrutta il modo in cui i dispositivi mobili sono integrati nella nostra vita e la combinazione con le caratteristiche disponibili sugli smartphone sempre connessi: WiFi, 3G/4G, comunicazioni vocali, fotocamera, e-mail, messaggistica, GPS, password e liste di contatti. È modulare, per consentire la personalizzazione e utilizza la crittografia forte per eludere i rilevamenti. La sequenza di attacco è uno schema di phishing classico: tramite un messaggio di testo, si apre il browser web, carica la pagina, sfrutta le vulnerabilità e installa il software dannoso per raccogliere informazioni. Questo, ovviamente, avviene in modo invisibile e in silenzio in modo tale che le vittime non sanno di essere spiati.
Zamir Dahbash, portavoce di NSO Group, ha dichiarato che l’azienda “non è in grado di confermare casi specifici” come quelli riportati nei rapporti di Citizen Lab e di Lookout, “il contratto firmato con i clienti richiede che i nostri prodotti vengano usati soltanto in un contesto di legalità“.