Un difetto congenito nel sistema operativo iOS di Apple, sfruttato dalla società di sorveglianza israeliana NSO Group per penetrare negli iPhone nel corso del 2021, è stato simultaneamente abusato da una società concorrente, secondo cinque persone che hanno familiarità con la questione e interpellate da Reuters. Questa seconda azienda è QuaDream, più piccola e di basso profilo rispetto a NSO, che sviluppa anche strumenti di hacking per smartphone destinati ai clienti del governo.
Nel 2021 le due aziende rivali hanno ottenuto lo stesso risultato di entrare in remoto negli iPhone, secondo le cinque fonti, ovvero entrambe le aziende potrebbero compromettere gli smartphone di Apple senza che il proprietario se ne renda conto oppure sia obbligato ad aprire un collegamento dannoso. Il fatto che due aziende abbiano utilizzato la stessa sofisticata tecnica di hacking, nota come “zero-click”, mostra che i device mobili, anche quelli con la Mela morsicata, sono più vulnerabili se aggrediti con potenti strumenti di spionaggio digitale.
E questo scenario è più critico di quanto brand e utenti siano propensi ad ammettere: “Le persone vogliono credere di essere al sicuro e le compagnie telefoniche vogliono che gli utenti credano in questo preuspposto. Quello che abbiamo imparato è che non lo sono”, ha affermato Dave Aitel, partner di Cordyceps Systems, un’azienda di sicurezza informatica.
Gli esperti che analizzano le intrusioni progettate da NSO Group e QuaDream ritengono che le due società abbiano utilizzato degli exploit software molto simili, noti come ForcedEntry, per dirottare gli iPhone.
Un exploit è un codice informatico progettato per sfruttare una serie di vulnerabilità software specifiche, fornendo a un hacker un accesso non autorizzato ai dati.
Gli analisti ritenevano che gli exploit relativi a iPhone di NSO e QuaDream fossero simili perché sfruttano molte delle stesse vulnerabilità nascoste nel profondo della piattaforma di messaggistica istantanea di Apple e utilizzano un approccio comparabile per installare software dannoso su dispositivi mirati, secondo tre delle fonti.
Bill Marczak, un ricercatore di sicurezza in Citizen Lab che ha studiato gli strumenti di hacking di entrambe le società, ha detto a Reuters che la capacità zero-click di QuaDream sembra “alla pari” con quella di NSO.
Reuters ha tentato ripetutamente di contattare QuaDream per un commento in merito alla sicurezza dell’iPhone, inviando messaggi a dirigenti e partner commerciali. Un giornalista della prestigiosa testata la scorsa settimana ha visitato l’ufficio di QuaDream, nel sobborgo di Ramat Gan a Tel Aviv, ma nessuno ha risposto alla porta. Anche l’avvocato israeliano Vibeke Dank, la cui e-mail era elencata nel modulo di registrazione aziendale di QuaDream, non ha restituito messaggi ripetuti.
Un portavoce di Apple ha rifiutato di commentare QuaDream o di accennare a quali sarebbero state le azioni che intendevano intraprendere nei confronti dell’azienda.
ForcedEntry è visto come “uno degli exploit tecnicamente più sofisticati” mai catturati dai ricercatori della sicurezza.
Le due versioni di ForcedEntry per iPhone erano così simili che quando Apple ha corretto i difetti di iOS, con l’aggiornamento di settembre 2021, ha reso inefficaci sia NSO che il software spia di QuaDream, secondo due persone che hanno familiarità con la questione.
In una dichiarazione scritta, una portavoce di NSO ha affermato che la società “non ha collaborato” con QuaDream ma che “l’industria della cyber intelligence continua a crescere rapidamente a livello globale”.
Apple ha citato in giudizio NSO Group per ForcedEntry a novembre 2021, sostenendo che NSO aveva violato i termini e le condizioni di utilizzo dei servizi per gli utenti di iPhone. Il caso giuridico è ancora nelle sue fasi iniziali.
Nella sua causa, Apple ha affermato che “respinge continuamente e con successo una serie di tentativi di hacking”. NSO ha negato qualsiasi illecito.
Le aziende di spyware da tempo hanno confermato di vendere tecnologia ad alta potenza per aiutare i governi a contrastare le minacce alla sicurezza nazionale. Ma i gruppi per i diritti umani e i media hanno ripetutamente documentato l’uso di spyware per attaccare la società civile, indebolire l’opposizione politica e interferire con le elezioni.
Apple ha notificato migliaia di obiettivi ForcedEntry a novembre 2021, facendo capire a funzionari eletti, giornalisti e operatori per i diritti umani di tutto il mondo che erano stati posti sotto sorveglianza.
In Uganda, per esempio, il ForcedEntry della NSO è stato utilizzato per spiare i diplomatici statunitensi.
Oltre alla causa Apple, anche WhatsApp di Meta è in contenzioso per il presunto abuso della sua piattaforma. A novembre, la NSO è stata inserita in una lista nera commerciale dal Dipartimento del Commercio degli Stati Uniti per questioni relative ai diritti umani.
A differenza di NSO, QuaDream ha mantenuto un profilo più basso nonostante abbia servito alcuni degli stessi clienti del governo. La società non ha un sito Web che pubblicizza la sua attività e ai dipendenti è stato detto di mantenere qualsiasi riferimento al proprio datore di lavoro fuori dai social media, secondo una persona che ha familiarità con l’azienda.
