Una falla nel software di Apple sfruttata dalla società di sorveglianza israeliana NSO Group per introdursi negli iPhone nel 2021 è stata contemporaneamente sfruttata da una società concorrente.
QuaDream è una ditta israeliana più piccola e di basso profilo che sviluppa anche strumenti di hacking per smartphone destinati a clienti governativi.
Le due aziende rivali hanno ottenuto la stessa capacità l’anno scorso di penetrare in remoto negli iPhone il che significa che entrambe le aziende potrebbero compromettere i telefoni Apple senza che il proprietario abbia bisogno di aprire un link dannoso. Che due aziende abbiano impiegato la stessa sofisticata tecnica di hacking, nello specifico “zero-click” , dimostra che i telefoni sono più vulnerabili ai potenti strumenti di spionaggio digitale di quanto l’industria ci riferisca in merito.
Gli esperti che analizzano le intrusioni architettate da NSO Group e QuaDream dall’anno scorso credono che le due aziende abbiano usato exploit software molto simili, noti come ForcedEntry, per compromettere gli iPhone.
Un exploit è un codice informatico progettato per sfruttare una serie di vulnerabilità specifiche del software, dando a un hacker un accesso non autorizzato ai dati.
Gli analisti hanno creduto che gli exploit di NSO e QuaDream fossero simili perché hanno sfruttato molte delle stesse vulnerabilità nascoste in profondità all’interno della piattaforma di messaggistica istantanea di Apple e hanno usato un approccio comparabile per piantare software dannoso sui dispositivi mirati.
Un portavoce di Apple ha rifiutato di commentare QuaDream o di dire quali azioni, se ce ne sono, hanno pianificato di intraprendere nei confronti dell’azienda.
ForcedEntry è visto come “uno degli exploit tecnicamente più sofisticati” mai rilevati dai ricercatori di sicurezza.
Le due versioni di ForcedEntry erano così simili che quando Apple ha corretto i difetti sottostanti nel settembre 2021 ha reso inefficace sia il software spia di NSO che quello di QuaDream.
In una dichiarazione scritta rilasciata alla Reuters, una portavoce di NSO ha formalmente dichiarato che la società “non ha collaborato” con QuaDream, ma che “l’industria della cyber intelligence continua a crescere rapidamente a livello globale“.
Apple ha citato in giudizio NSO Group su ForcedEntry a novembre, sostenendo che NSO aveva violato i termini di utilizzo di Apple e l’accordo sui servizi. Il caso è ancora nelle sue fasi iniziali.
Le aziende di spyware hanno a lungo sostenuto di vendere tecnologia ad alta potenza per aiutare i governi a contrastare le minacce alla sicurezza nazionale. Ma gruppi per i diritti umani e giornalisti hanno ripetutamente documentato l’uso di spyware per attaccare la società civile, minare l’opposizione politica e interferire con le elezioni.
Apple ha notificato migliaia di obiettivi ForcedEntry a novembre, facendo capire a funzionari eletti, giornalisti e lavoratori dei diritti umani in tutto il mondo che erano stati messi sotto sorveglianza.
In Uganda, per esempio, ForcedEntry di NSO è stato usato per spiare i diplomatici statunitensi, ha riferito Reuters.
Oltre alla causa di Apple, anche WhatsApp di Meta è in causa per il presunto abuso della sua piattaforma. A novembre, NSO è stata messa su una lista nera commerciale dal Dipartimento del Commercio degli Stati Uniti per questioni di diritti umani.
A differenza di NSO, QuaDream ha mantenuto un profilo più basso pur servendo alcuni degli stessi clienti del governo. L’azienda non ha un sito web che promuove la sua attività e ai dipendenti è stato detto di tenere qualsiasi riferimento al loro datore di lavoro fuori dai social media per non fornire prove della sua esistenza.
QuaDream è stata fondata nel 2016 da Ilan Dabelstein, un ex ufficiale militare israeliano, e da due ex dipendenti della NSO, Guy Geva e Nimrod Reznik, secondo i documenti aziendali israeliani.
Come lo spyware Pegasus di NSO, il prodotto di punta di QuaDream – chiamato REIGN – potrebbe prendere il controllo di uno smartphone, raccogliendo messaggi istantanei da servizi come WhatsApp, Telegram e Signal, così come e-mail, foto, testi e contatti, secondo due brochure di prodotto del 2019 e 2020.
Le capacità della “Premium Collection” di REIGN includevano le “registrazioni delle chiamate in tempo reale”, “l’attivazione della fotocamera – anteriore e posteriore” e “l’attivazione del microfono”, diceva una brochure.
Un sistema QuaDream, che avrebbe dato ai clienti la possibilità di lanciare 50 irruzioni di smartphone all’anno, è stato offerto per 2,2 milioni di dollari esclusi i costi di manutenzione, secondo la brochure del 2019 seppur nell’ambiente si sostenga che il prezzo per REIGN sia più alto.
Nel corso degli anni, QuaDream e NSO Group hanno impiegato alcuni degli stessi talenti ingegneristici, ma le aziende non hanno collaborato ai loro software di assalto ai danni dell’iPhone, trovando i propri modi per sfruttare le vulnerabilità.
Diversi acquirenti di QuaDream si sono anche sovrapposti a quelli di NSO tra cui l’Arabia Saudita e il Messico entrambi i quali sono stati accusati di abuso di software spia per colpire gli oppositori politici.
Uno dei primi clienti di QuaDream è stato il governo di Singapore e la documentazione esaminata da Reuters mostra che la tecnologia di sorveglianza della società è stata proposta anche al governo indonesiano.
