Lo spyware Pegasus di NSO Group trovato negli smartphone di giornalisti e attivisti

19 Luglio 2021 53

Un'enorme indagine del Washington Post e altri 16 partner nel settore dell'editoria ha scoperto spyware di livello militare sugli smartphone Android e iOS di giornalisti e attivisti per i diritti umani: nel complesso sono stati individuati 37 dispositivi infettati con un software sviluppato dalla società israeliana NSO Group e ceduto in licenza ad agenzie governative, formalmente con l'obiettivo di sorvegliare criminali e terroristi. Due degli smartphone appartenevano a donne vicine al giornalista e dissidente saudita (peraltro collaboratore proprio del Washington Post) Jamal Khashoggi, assassinato nell'ottobre del 2018, si sospetta proprio su ordine del principe saudita Mohammed bin Salman.

I numeri di telefono associati agli smartphone identificati erano inclusi in una lista di oltre 50.000 numeri sorvegliati, per lo più in Paesi in cui il monitoraggio aggressivo dei propri cittadini è consuetudine; le indagini hanno confermato anche i numeri di inviati esteri di grandi organizzazioni internazionali come CNN, AP, Wall Street Journal, Le Monde, New York Times e Financial Times. Sono emersi inoltre numeri di capi di stato, primi ministri e altri funzionari politici di alto livello. Ci sono elementi per concludere che molti altri smartphone sono stati attaccati ma hanno resistito: Amnesty International, per esempio, ne ha analizzati in totale 67: 23 sono risultati infetti, mentre 14 mostravano tracce di tentativi di intrusione.

Secondo Amnesty International, la campagna di sorveglianza è durata almeno sette anni - da luglio 2014 a luglio 2021. NSO Group ha usato diversi metodi per penetrare le difese degli smartphone coinvolti, tra cui vulnerabilità in svariate versioni di iMessage, il software di messaggistica sviluppato da Apple e preinstallato in tutti gli iPhone sul mercato; dall'indagine emerge che almeno una di questa vulnerabilità è presente, e sfruttata, ancora in iOS 14.6, la release più recente del sistema operativo. Una di queste è di classe cosiddetta "zero-click", ovvero: non richiede alcun tipo di interazione da parte dell'utente. Come è facile dedurre, è estremamente pericolosa. Il report evidenzia come NSO Group sia stata negli anni molto abile a trovare sempre nuove vulnerabilità in iOS, man mano che Apple individuava e chiudeva quelle precedenti.

Non è la prima volta che l'israeliana NSO Group si ritrova al centro di scandali di questo tipo: il suo software, il cui nome dovrebbe essere Pegasus, è sospettato di aver condotto l'attacco hacker allo smartphone di Jeff Bezos, tra gli altri; la società è stata denunciata da WhatsApp/Facebook nell'ottobre del 2019. Ancora lo scorso dicembre accuse praticamente analoghe a quelle sollevate dal Washington Post (che tra l'altro è proprietà proprio di Bezos) erano state mosse dal laboratorio canadese Citizen Lab. Come ha sempre fatto, NSO Group nega tutto: dice che l'articolo del Post parte da assunzioni errate, teorie non corroborate e fonti inaffidabili.


53

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Nacyres

Durov, dirigente di Telegram, ha dichiarato che ne era a conoscenza e si dispiace con loro perché sul suo telefono trovavano soltanto migliaia di file di progetti noiosissimi
Ha scritto tutto su Durov’s channel su telegram

daniele

per avere dati al sicuro c'è un solo modo, nessuna rete dati attiva.. sperando sempre che il dispositivo non venga rubato!!

cribbio, ma perchè ti ostini a difendere l'indifendibile? basta leggere tre righe di analisi del trojan in oggetto per sapere che acquisisce i dati delle app on the fly, prima della cifratura.

Sei il classico internettaro che non sa NULLA ma vuole avere ragione.

Ti filtro per sempre.
addio e rimani pure nella tua ignoranza.

Miserabile

Le cose possono essere criptate, idem per le conversazioni e per i dati che hai su un dispositivo, quelle non possono sottrartele in nessun modo.

Ma perchè cerchi di arrampicarti inutilmente sui vetri???
Mi spiegheresti GENTILMENTE come farebbe un giornalista, un politico, un dirigente di grossa azienda a non avere nulla nel device personale?
Basta l'info del GPS (non disabilitabile, visto che il trojan la usa anche se credi di averlo fatto) o la lista dei contatti, o le conversazioni telefoniche (anche solo l'elenco senza la registrazione vocale, che pure poteva essere acquisita)

ahahaha quando la paranoia brucia i neuroni ;)

HeySiri
ErCipolla

Certo, l'aggiornamento però arriva solo quando la falla è bella che conosciuta e sfruttata, quindi fino ad allora serve a poco l'antivirus.

Aster

Abbiamo salvato dei ebrei quindi abbiamo il nome tra o buoni e gli ulivi in Israele,quindi sono immunizzato;)

Andrej Peribar

Pare che buona parte della popolazione di HDblog si sia messa a litigare sul tema iOS vs Android.

Quando si dice cogliere il nocciolo della questione.

Andrej Peribar

???

Miserabile

Bhe in gal caso nulla, le persone capaci sanno che quello che non vogliano venga rubato allora devono tenerselo al di fuori di dispositivi connessi ad internet

Gerry

Occhio che ti accusano di antisemitismo

e niente, io c'ho provato... bye bye...

SpiritoInquieto

Chissà poi perché escono notizie del genere dove hanno rilevato tutto nel dettaglio. Le stesse persone che li scoprono, magari poi aggiornano gli antivirus?

SteDS

Ma vedi che non sai proprio nulla di informatica, fossi un vero esperto diresti: iOS bello e sicuro, Android brutto e cattivo, senza perderti in argomentazioni totalmente superflue, ovviamente.

p.s.
e non mi rispondere citando gli AV basati sull'euristica o il comportamento: gli AV non analizzano i processi legittimi in RAM, e sono proprio quelli in cui viene iniettato il codice tramite exploit

non hai idea della materia di cui stai parlando.
1) Sono tutti attacchi "ad personam": ognuno viene attaccato da un binario diverso
2) l'antivirus non può fare nulla quando l'exploit entra in un processo legittimo e poi scala di privilegi.

SpiritoInquieto

L'utente innanzitutto, una suite completa (quindi a pagamento) che oper in background, in secondo luogo. Di Kaspersky mi fido, ma anche di altri, magari non statunitensi.

SpiritoInquieto

Persone fanno i virus, persone fanno gli antivirus. Non c'è alcuna divinità. Magari non il primo giorno, ma una settimana dopo un buon AV lo pulisce di sicuro.

fabrynet

Certo, ma si era allargato il discorso sulla sicurezza in senso più ampio, a 360 gradi, credo si capisse.

ha davvero risposto che era colpa dell'utente, quell'ignorante che ho filtrato?

C'è scritto grande e grosso in tutti gli articoli che parlano di sta cosa: "ZERO DAY + ZERO CLICK".
significa che sei in****lato senza dover fare nulla (zero click) anche se hai aggiornato tutto (zero day).

ed ecco un'altra vulnerabilità nuova di pacca che farà schiantare il fegato del povero utente che ho filtrato ma che vedo citato nel 90% delle risposte qui attorno:

https://thehackernews.com/2021/07/turns-out-that-low-risk-ios-wi-fi.html

il bug di iOs dei nomi delle reti wi-fi era exploitabile e permetteva uno 0-click su qualsiasi dispositivo iOs configurato in modo predefinito

Repox Ray

Qual'è il migliore antivirus per android?

ErCipolla

Non stavo sindacando su quello, sto dicendo che i meccanismi descritti nel video che hai postato non penso abbiano nulla a che fare con gli spyware indicati in questo articolo, che infatti sono stati trovati su entrambi gli SO. Molto probabile che qui si tratti di exploit di più basso livello e maggiore sofisticazione del "ti ho fregato dalle mani il telefono mentre era sbloccato" e altre amenità varie descritte nel video.

fabrynet

Ripeto, magari entra in testa, la sicurezza ha vari livelli e stratificazioni, dalla consapevolezza dell’utente, livello 1, alle scelte di design di un sistema operativo, ad accorgimenti hardware-software, passando ovviamente per le falle di sicurezza. iOS mettendo insieme tutti questi aspetti è superiore ad Android per quanto riguarda la sicurezza e la privacy garantiti.

Ansem The Seeker Of Lossless

Stai parlando con Fabrynet, per lui la sicurezza informatica, compresa questa, passa prima di tutto dall'approvazione Apple.

ErCipolla

Premesso che Davide è un mito e fa cappottare dal ridere, tutte le cose di cui parla quel video non sono falle di sicurezza dell'SO, sono più scelte di design che non gli piacciono (più che condivisibili in molti casi, ma non sono falle che permettono di installare malware di straforo).

Inoltre dice anche alcune inesattezze, per esempio: non è vero che se ti rubano il telefono e hai l'autenticazione a due passaggi sei fregato perché non puoi autenticarti su un altro device per tracciarlo, Google mette a disposizione proprio per questi scenari i codici di verifica single-use.

la versione completa è "non ho nulla da nascondere perchè sono ignorante come un capra"

che storia strappalacrime

E cosa farebbe di preciso il 2% di persone capaci contro uno 0-day no click?

sì certo, l'antivirus contro un trojan di livello statale pensato per mutare per ogni singolo obiettivo e che sfrutta molto spesso 0-day .
Ma certo! basta l'antivirus e il cervello.

Contro attacchi del genere non basta NULLA.

fabrynet

Certo, il primo il livello di sicurezza è l’utilizzo consapevole dell’utente.
Poi viene tutto il resto ed iOS è superiore ad Android per una serie di accorgimenti.

Miserabile

Ogni antivirus è inutile se il dispositivo è posseduto da incapaci totali, come nel 98% dei casi.

Miserabile

Occhio ai gretini che ti faranno sentire in colpa per aver ucciso un albero

Goose

Stai parlando con un ingegnere. Non è dimostrato da nessuna parte che i livelli di sicurezza siano più bassi o meno di iOS, basti vedere che su iOS viene anche semplice l’utilizzo di jailbreak sfruttando vulnerabilità software, e da qui la facilità di creare exploit (che siano tethered o untethered). Su iOS vedi meno roba perché passa tutto dallo store e da nessun altra parte, ma in quanto a sicurezza a livello di OS non eccelle in niente rispetto ad altri sistemi operativi. Android inoltre da un bel po’ di anni ha gli stessi standard di sicurezza, vedi Knox sui Galaxy per contenere dati importanti oppure le app che funzionano in caso di permessi di root sul dispositivo.

Regola importante di Computer Security: quasi nessun software è esente da bug, la prima sicurezza è la responsabilità di chi utilizza il software. Se hai un iPhone ed apri un link “sospetto” su iMessage corri lo stesso rischio di chi fa lo stesso su Android con un’altra app.

fabrynet

La sicurezza in informatica ha mille sfaccettature e vari livelli di implementazione.
I bug sono normali su qualsiasi software o sistema operativo mediamente complesso, questo però non significa automaticamente che iOS sia poco sicuro come Android.
Le basi dell’informatica vi mancano proprio.

Aster

In Ungheria non si smentiscono mai da secoli.

Mostra 1 nuova risposta

E l'agenzia delle entrate lo sa bene.

Tsaeb

ti fanno credere di avere un carro armato, la cosa è un po diversa.

Tango_TM

statisticamente avrebbero ragione a dirti che è inutile, poi ovvio dipende uno che uso ne fa

Daniel

Certo ogni cosa è vulnerabile ma se devo prendere la tangenziale tra una bicicletta sbilenca e un carro armato ti lascio la bici.

Goose

Ero ironico.

iOS ha vulnerabilità come ne ha Android, la hanno trovata in un app di messaggistica come iMessage, e forse è il punto più cruciale poiché teoricamente può essere sfruttato tramite un messaggio. Forse forse se la gente inizierà a capire che tutti gli OS hanno vulnerabilità allora finalmente smetteremo di leggere cose tipo “A ha più bug”, “B è più sicuro”.

Dal momento che esiste anche solo una vulnerabilità, iOS non è più sicuro di tanti altri OS.

Daniel

Che l'Androide è pieno di buchi lo sanno anche i sassi ormai e non fa più notizia --> quindi tirano dentro il povero iOS e la gente clicca.

Goose

Che bufala, iOS garantisce alti livelli di sicurezza, è praticamente impossibile che la versione di iMessage installata con iOS 14.6 abbia una vulnerabilità per far entrare uno spyware.

SpiritoInquieto

Sarebbe interessante sapere quali smartphone hanno resistito e perché. Immagino una buona suite antivirus, probabilmente con tecnologia russa.
Arrivo di individui scarsamente competenti che dicono che su Android un AV è inutile in 3, 2, 1...

giovanni cordioli

Paradossalmente oggi che siamo nell'era delle intercettazioni estese ad ogni dispositivo elettronico, il metodo più sicuro per non essere mai spiati è quello di mandare una lettera per posta ordinaria.
Di recente mi è arrivata una lettera scritta ( a mano ) ....Bella calligrafia tra l'altro...
Vi dirò che è anche una bella sensazione che avevo dimenticato.
Quando ti scrivono a mano non è come ricevere una mail:
Significa che per qualcuno sei abbastanza importante da dover cercare della carta da lettere di qualità, perdere del tempo per scrivere con cura, mettere il tutto in una busta e andarla ad imbucare.
Oggi ricevere una lettera scritta come si deve e a mano, significa qualcosa.

Just.In.Time

Qui il Criminale è il governo.
Ed infatti hanno assassinato 2 giornalisti .

Miserabile

Quando c'è gente che sostiene che "per la salute comune", "per il bene superiore", "per la salvezza della nazione" si possano fare atti simili, avremo quello che ci spetta.

LAM

https://uploads.disquscdn.c...

Recensione OnePlus Nord 2: sarà lo smartphone giusto per molti

Xiaomi Mi 11 Lite come non l'avete mai visto | Video

Recensione Sony Xperia 1 III: super fotocamere e spirito bollente

Recensione vivo X60 Pro: cosa offre lo smartphone ufficiale degli Europei