Un difetto nel sistema di Apple è stato sfruttato dalla società israeliana NSO Group per entrare negli iPhone nel 2021 ed è stato simultaneamente utilizzato da una società concorrente.
QuaDream, affermano diverse fonti, è un’azienda israeliana più piccola e di basso profilo che sviluppa anche strumenti di hacking per smartphone destinati a clienti governativi.
Le due aziende rivali hanno utilizzato lo stesso bug l’anno scorso e sono riuscite ad entrare in remoto negli iPhone, il che significa che entrambe le aziende potrebbero compromettere i telefoni Apple senza che un proprietario debba aprire alcun collegamento dannoso. Il fatto che due aziende abbiano utilizzato la stessa sofisticata tecnica di hacking, nota come “zero-click”, mostra che i telefoni sono i più vulnerabili a potenti strumenti di spionaggio digitale di quanto il settore possa ammettere.
“Le persone vogliono credere di essere al sicuro e le compagnie telefoniche vogliono che tu creda che lo siano. Quello che abbiamo imparato è che non lo sono“, ha affermato Dave Aitel, partner di Cordyceps Systems, un’azienda di sicurezza informatica.
Gli esperti che analizzano le intrusioni progettate da NSO Group e QuaDream dallo scorso anno ritengono che le due società abbiano utilizzato exploit software molto simili, noti come ForcedEntry, già utilizzato con lo spyware Pegasus per compromettere gli iPhone.
Un exploit è un codice informatico progettato per sfruttare una serie di vulnerabilità software specifiche, fornendo a un hacker un accesso non autorizzato ai dati.
Gli analisti ritengono che gli exploit di NSO e QuaDream fossero simili perché sfruttavano molte delle stesse vulnerabilità nascoste nel profondo della piattaforma di messaggistica istantanea di Apple e utilizzavano un approccio comparabile per installare software dannoso su dispositivi obiettivo dell’attacco.
Bill Marczak, un ricercatore di sicurezza di Citizen Lab che ha studiato gli strumenti di hacking di entrambe le società, ha detto a Reuters che la capacità zero-click di QuaDream sembrava “alla pari” con quella di NSO.
QuaDream non ha voluto rilasciare commenti sulla vicenda. Un giornalista della Reuters si è recato all’ufficio di QuaDream, a Ramat Gan a Tel Aviv, ma nessuno ha risposto. Anche l’avvocato israeliano Vibeke Dank, la cui e-mail era elencata nel modulo di registrazione aziendale di QuaDream, non ha risposto ai messaggi.
Un portavoce di Apple ha rifiutato di commentare QuaDream o di dire quali sarebbero state le azioni che intendevano intraprendere nei confronti dell’azienda.
ForcedEntry è visto come “uno degli exploit tecnicamente più sofisticati” mai analizzati dai ricercatori di sicurezza.
Le due versioni di ForcedEntry erano così simili che quando Apple ha corretto i difetti sottostanti nel settembre 2021, ha reso inefficaci sia NSO che il software spia di QuaDream.
In una dichiarazione scritta, una portavoce della NSO ha affermato che la società “non ha collaborato” con QuaDream ma che “l’industria della cyber intelligence continua a crescere rapidamente a livello globale”.
Apple ha citato in giudizio NSO Group per ForcedEntry a novembre, sostenendo che NSO aveva violato i termini e l’accordo sui servizi per gli utenti di Apple. Il caso è ancora nelle sue fasi iniziali.
Nella sua causa, Apple ha affermato che “respinge continuamente e con successo una serie di tentativi di hacking“. NSO ha negato qualsiasi illecito.
Le aziende di spyware sostengono da tempo di vendere tecnologia ad alta potenza per aiutare i governi a contrastare le minacce alla sicurezza nazionale. Ma i gruppi per i diritti umani e i giornalisti hanno ripetutamente documentato l’uso di spyware per attaccare la società civile, indebolire l’opposizione politica e interferire con le elezioni.
Apple ha notificato migliaia di obiettivi ForcedEntry a novembre, facendo capire a funzionari eletti, giornalisti e operatori per i diritti umani di tutto il mondo che erano stati posti sotto sorveglianza.
In Uganda, ad esempio, il ForcedEntry della NSO è stato utilizzato per spiare i diplomatici statunitensi, ha riferito Reuters.
Oltre alla causa Apple, anche WhatsApp di Meta è in contenzioso per il presunto abuso della sua piattaforma. A novembre, la NSO è stata inserita in una lista nera commerciale dal Dipartimento del Commercio degli Stati Uniti per questioni relative ai diritti umani.
A differenza di NSO, QuaDream ha mantenuto un profilo più basso nonostante abbia servito alcuni degli stessi clienti del governo. La società non ha un sito Web che pubblicizza la sua attività e ai dipendenti è stato detto di mantenere qualsiasi riferimento al proprio datore di lavoro fuori dai social media.
QuaDream è stata fondata nel 2016 da Ilan Dabelstein, un ex ufficiale militare israeliano, e da due ex dipendenti della NSO, Guy Geva e Nimrod Reznik.
Come lo spyware Pegasus di NSO, il prodotto di punta di QuaDream, chiamato REIGN, potrebbe assumere il controllo di uno smartphone, raccogliendo messaggi istantanei da servizi come WhatsApp, Telegram e Signal, oltre a e-mail, foto, testi e contatti.
Le funzionalità della “Collezione Premium” di REIGN includevano le “registrazioni delle chiamate in tempo reale”, “attivazione della telecamera – fronte e retro” e “attivazione del microfono”.
I prezzi sembravano variare. Secondo la brochure del 2019, un sistema QuaDream, che avrebbe offerto ai clienti la possibilità di lanciare 50 effrazioni di smartphone all’anno, veniva offerto per 2,2 milioni di dollari al netto dei costi di manutenzione.
Nel corso degli anni, QuaDream e NSO Group hanno impiegato alcuni degli stessi talenti ingegneristici. Alcune fonti hanno affermato che le società non hanno collaborato agli hack degli iPhone, ma sono arrivati contemporaneamente ai propri modi per sfruttare le vulnerabilità.
Molti degli acquirenti di QuaDream si sono anche sovrapposti a NSO tra cui Arabia Saudita e Messico, entrambi accusati di aver utilizzato in modo improprio software spia per prendere di mira oppositori politici.
Uno dei primi clienti di QuaDream è stato il governo di Singapore e la documentazione esaminata da Reuters mostra che la tecnologia di sorveglianza dell’azienda è stata presentata anche al governo indonesiano.