Un giornalista del New York Times che si occupa di Medio Oriente ha raccontato di essersi ritrovato con il suo iPhone hackerato e di aver quindi preso una serie di precauzioni per evitare che la situazione si ripeta in futuro.
Ben Hubbard racconta di aver subito quattro tentativi di hackeraggio del suo iPhone e che due di questi sono andati a segno, grazie allo spyware Pegasus di NSO.
Ricordiamo che NSO Group produce uno spyware chiamato Pegasus, che viene venduto ad agenzie governative e forze dell’ordine. La società acquista dagli hacker le cosiddette vulnerabilità zero-day (quelle che in pratica sono sconosciute ad Apple) e offre un software in grado di effettuare exploit zero-click, in cui non è richiesta alcuna interazione da parte dell’utente per iniettare lo spyware. In particolare, uno dei metodi più utilizzati sfrutterebbe una vulnerabilità di iMessage, che consente ai malintenzionati di inviare un particolare messaggio che, senza dover essere aperto, riesce a compromettere l’iPhone.
NSO vende Pegasus solo ai governi, ma tra questi ci sono anche paesi che non rispettano a pieno i diritti umani e sfruttano lo spyware per controllare oppositori politici, attivisti e giornalisti. Apple ha risolto uno degli exploit chiave utilizzati da NSO, ma la società probabilmente ne ha altri da poter sfruttare.
Queste le parole del giornalista:
Come corrispondente del New York Times che copre le vicende del Medio Oriente, parlo spesso con persone che corrono grandi rischi per condividere con me informazioni che i loro governanti autoritari vogliono mantenere segrete. Prendo molte precauzioni per proteggere queste fonti perché se venissero catturate potrebbero finire in galera, o addirittura morire. Purtroppo, ho scoperto che il mio iPhone era stato hackerato senza che io dovessi fare nulla – nemmeno click su un collegamento – per infettare il telefono.
I primi due tentativi sono avvenuti tramite un SMS e un messaggio WhatsApp. Avrebbero funzionato solo se Hubbard avesse cliccato sui link, ma il giornalista era troppo esperto per cascarci. Tutto questo non ha però evitato un exploit zero-click.
Bill Marczak del Citizen Lab ha scoperto che ero stato hackerato due volte, nel 2020 e nel 2021, con i cosiddetti exploit “zero-click”, che consentivano all’hacker di entrare nel mio telefono senza che io facessi clic su alcun collegamento. È come essere derubati da un fantasma.
Sulla base del codice trovato nel mio telefono che assomigliava a quello che Bill aveva visto in altri casi, mi è stato detto che l’attacco era avvenuto tramite Pegasus. Altri indizi hanno portato a scoprire che dietro l’attacco c’era l’Arabia Saudita.
Lo stesso giornalista ha quindi preso delle precauzioni:
Ora sono molto più cauto e salvo i contatti più sensibili offline, fuori dal telefono. Inoltre, invito le persone a usare Signal, un’app di messaggistica crittografata che impedisce agli hacker di accedere al suo contenuto.
Inoltre, molte società di spyware, tra cui NSO, impediscono di prendere di mira i numeri di telefono degli Stati Uniti, presumibilmente per evitare di litigare con Washington che potrebbe portare a nuove regolamentazioni, quindi uso un numero di telefono americano.
Riavvio spesso il mio telefono, il che può eliminare (ma non tenere fuori) alcuni spyware. E, quando possibile, ricorro a una delle poche opzioni non hackerabili che abbiamo ancora: lascio il telefono alle spalle e incontro le persone faccia a faccia.
Gli strumenti di NSO sono molto costosi, per cui vengono prese di mira solo persone di una certa importanza. La maggior parte degli utenti può stare tranquilla, ma di fatto gli iPhone possono essere colpiti da questi spyware.