Documents legals alliberats com a part d’una batalla legal en curs entre WhatsApp de Meta i el grup NSO, han revelat que el venedor de programari espia israelià va utilitzar múltiples explotadors dirigits a l’aplicació de missatgeria per lliurar Pegasus, inclòs un fins i tot després que Meta els demandés per fer-ho.

També mostren que NSO Group, repetidament, va trobar maneres d’instal·lar l’eina de vigilància invasiva als dispositius de la víctima mentre WhatsApp anava erigint noves defenses per contrarestar l’amenaça.

El maig de 2019, WhatsApp va comunicar que havia bloquejat un ciberatac sofisticat que va aprofitar el seu sistema de videotrucades per oferir programari maliciós Pegasus subreptíciament. L’atac va aprofitar un defecte de dia zero que es va registrar com a CVE-2019-3568 (puntuació CVSS: 9,8), un error crític de desbordament de la memòria intermèdia a la funcionalitat de trucada de veu.

Els documents ara mostren que NSO Group «va desenvolupar un altre vector d’instal·lació (conegut com a Erised) que també feia servir servidors de WhatsApp per instal·lar Pegasus». El vector d’atac, una explotació de clic zero que podria comprometre el telèfon d’una víctima sense cap interacció de la víctima, es va neutralitzar en algun moment després del maig de 2020, cosa que indica que es va fer servir fins i tot després que WhatsApp hagués presentat una demanda en contra l’octubre de 2019.

Es creu que Erised és un dels molts vectors de programari maliciós, anomenats col·lectivament Hummingbird, que el grup NSO havia ideat per instal·lar Pegasus fent servir WhatsApp com a conducte, inclosos els rastrejats com a Heaven and Eden, aquest últim és un nom en clau per al CVE-2019-3568 i s’havia utilitzat per orientar uns 1.400 dispositius.

«[NSO Group] ha admès que van desenvolupar aquestes explotacions mitjançant l’extracció i la descompilació del codi de WhatsApp, amb enginyeria inversa de WhatsApp i amb el disseny i ús del seu propi ‘Servidor d’instal·lació de WhatsApp’ (o ‘WIS’) per enviar missatges mal formats (que un client legítim de WhatsApp no hauria pogut enviar) a través dels servidors de WhatsApp i, per tant, provoca que els dispositius de destinació instal·lin l’agent de programari espia Pegasus, tot violant la llei federal i estatal i les condicions de servei de WhatsApp escrites amb llenguatge planer», segons els documents judicials descatalogats.

Concretament, Heaven va utilitzar missatges manipulats per forçar els servidors de senyalització de WhatsApp, que es fan servir per autenticar el client (és a dir, l’aplicació instal·lada), a dirigir els dispositius de destinació a un servidor de retransmissió de tercers controlat per NSO Group.

Es diu que les actualitzacions de seguretat del servidor fetes per WhatsApp a finals de 2018 van impulsar l’empresa a desenvolupar una nova explotació, anomenada Eden, el febrer de 2019 que va abandonar la necessitat del propi servidor de retransmissió de NSO Group en favor dels relés operats per WhatsApp.

«NSO es va negar a indicar si va desenvolupar més vectors de programari maliciós basats en WhatsApp després del 10 de maig de 2020″, segons un dels documents. “NSO també admet que els vectors de programari maliciós es van utilitzar per instal·lar Pegasus amb èxit en» entre centenars i desenes de milers «de dispositius».

A més, els documents ofereixen una mirada retroactiva de les escenes de com s’instal·la Pegasus al dispositiu d’un objectiu mitjançant WhatsApp, i com és NSO Group, i no el client, qui opera el programari espia, contradient les afirmacions anteriors de la companyia israeliana.

«El paper dels clients de NSO és mínim», afirmen els documents. «El client només havia d’introduir el número del dispositiu de destinació i ‘prémer Instal·lar’, i Pegasus instal·larà l’agent al dispositiu de manera remota sense cap compromís’. En altres paraules, el client simplement fa una comanda per a les dades d’un dispositiu objectiu i NSO controla tots els aspectes del procés de recuperació i lliurament de dades mitjançant el seu disseny de Pegasus».

NSO Group ha mantingut repetidament que el seu producte s’ha d’utilitzar per combatre el crim greu i el terrorisme. També ha insistit que els seus clients són els responsables de la gestió del sistema i tenen accés a la intel·ligència que recull.

El setembre de 2024, Apple va presentar una moció per desestimar «voluntàriament» la seva demanda contra NSO Group, i va citar un panorama de risc canviant que podria portar a l’exposició d’informació crítica d’«intel·ligència sobre amenaces» i que «té el potencial de posar en risc la informació de seguretat vital».

Durant els anys intermedis, el fabricant d’iPhone ha afegit constantment noves funcions de seguretat per dificultar la realització d’atacs de programari espia mercenaris. Fa dos anys, es va presentar el Mode de bloqueig com a forma d’endurir les defenses del dispositiu, que reduïa la funcionalitat de diverses aplicacions com ara FaceTime i Missatges, així com els perfils de configuració de bloqueig.

A principis d’aquesta setmana, han sorgit informes d’un nou mecanisme de seguretat a les versions beta d’iOS 18.2 que fa que el telèfon es reiniciï automàticament si no està desbloquejat durant 72 hores, de manera que els usuaris, incloses les agències d’aplicació de la llei que poden tenir accés als telèfons dels sospitosos, tornin a introduir la contrasenya per accedir al dispositiu.

Magnet Forensics, que ofereix una eina d’extracció de dades anomenada GrayKey, ha confirmat la funció de “reinici d’inactivitat”, que indica que l’activador està «lligat a l’estat de bloqueig del dispositiu» i que «un cop un dispositiu ha entrat en un estat bloquejat i no s’ha desbloquejat en 72 hores, es reiniciarà».

«A causa del nou temporitzador de reinici d’inactivitat, ara és més imprescindible que mai que els dispositius es facin imatges d’ells mateixos tan aviat com sigui possible per garantir l’adquisició de les dades més disponibles», va afegir.