Cos'è Pegasus e perché le falle di sicurezza di iOS 9.3.5 erano così importanti

Questa mattina Apple ha pubblicato iOS 9.3.5, ultima versione del sistema operativo che ha risolto tre gravi falle che mettevano a serio rischio la sicurezza di iPhone e iPad. Parliamo di vulnerabilità cosiddette zero-day, così chiamate perché tanto gravi che l'azienda ha letteralmente zero giorni di tempo per patchare prima che dei malintenzionati possano sfruttare il problema

La storia che ha portato alla scoperta di questi exploit è particolarmente interessante e ha coinvolto Ahmed Mansoor, noto ingegnere, blogger e attivista per i diritti umani degli Emirati Arabi, che tra il 10 e l'11 agosto ha ricevuto dei messaggi sospetti, che ha pensato bene di girare al Citizen Lab, laboratorio di sorveglianza dell'Università di Toronto.

Questi ultimi, insieme alla società di sicurezza Lookout Security, hanno analizzato i link e scovato uno spyware in grado si sfruttare le tre falle di sicurezza in questione, utilizzandole per spiare Mansoor. Il trittico di vulnerabilità, denominate per l'appunto Trident, avrebbero permesso di eseguire il jailbreak dell'iPhone da remoto, per poi installare uno spyware chiamato Pegasus per spiare Mansoor in tutta tranquillità, registrando audio dal microfono, leggendo le conversazioni e accedendo a praticamente qualsiasi informazione conservata sul dispositivo.

Lookout e Citizen Lab hanno immediatamente avvisato Apple, che ha prontamente fixato l'exploit con iOS 9.3.5; inoltre, hanno pubblicato un post in cui si legge che Pegasus è l'attacco più sofisticato che le due società abbiano mai visto, anche perché è altamente configurabile e per installarlo basterebbe un clic su un semplice link.

Dietro la creazione di Pegasus pare ci sia l'NSO Group, divisione israeliana della statunitense Francisco Partners Management, che pare venda software di sicurezza informatica principalmente ai governi; per questo motivo, diverse fonti ipotizzano che dietro l'azione ci possa essere il governo degli Emirati Arabi, verso cui Mansoor era stato più volte critico.

Il kit utilizzato per l'attacco sarebbe stato venduto al costo di 8 milioni di dollari per 300 licenze, il che fa pensare che in passato possano esserci state altre vittime colpite da Pegasus.