Un nuovo rapporto di Amnesty International getta nuova luce sull'uso dello spyware Pegasus, sviluppato da NSO Group, per colpire giornalisti e attivisti. La ricerca rivela che gli attacchi sono stati condotti sfruttando una vulnerabilità zero-click nella funzionalità HomeKit di Apple, consentendo agli aggressori di compromettere i dispositivi iPhone senza alcuna interazione da parte dell'utente.
L'indagine è iniziata nell'ottobre 2023, quando due attivisti serbi, legati a importanti think tank, hanno ricevuto notifiche di attacchi sponsorizzati da stati direttamente da Apple. Collaborando con la SHARE Foundation di Belgrado e Access Now, Amnesty International ha condotto analisi forensi sui loro iPhone. I risultati hanno confermato che i dispositivi erano stati presi di mira dallo spyware Pegasus, sebbene con alcune difficoltà nel determinare se il tentativo di infezione fosse andato completamente a buon fine.
Gli attacchi, avvenuti a pochi minuti di distanza l'uno dall'altro, provenivano da due indirizzi email iCloud controllati dagli aggressori. Amnesty International ha attribuito questi account all'infrastruttura di Pegasus, in linea con precedenti scoperte su attacchi zero-click simili.
"Le tracce di targeting tramite il servizio HomeKit di Apple assomigliano molto alle tecniche di attacco osservate in altri attacchi di Pegasus di NSO Group esaminati dal Security Lab di Amnesty International", afferma il rapporto.
L'organizzazione ha identificato ulteriori vittime anche in India, dove sono state osservate tracce simili di sfruttamento di HomeKit prima che il payload completo di Pegasus fosse consegnato tramite iMessage nell'agosto 2023. Questa scoperta indica una possibile campagna di spionaggio più ampia e coordinata.
Amnesty International ritiene che gli attacchi siano stati eseguiti sfruttando una vulnerabilità specifica di HomeKit, che permette agli aggressori di stabilire un collegamento con il dispositivo e inviare contenuti dannosi tramite iMessage. Una volta installato, lo spyware è in grado di raccogliere dati personali, monitorare l'attività del dispositivo, intercettare comunicazioni e accedere a informazioni sensibili.
NSO Group, un'azienda israeliana, vende Pegasus a governi e forze dell'ordine, sostenendo che il software venga utilizzato esclusivamente per scopi legittimi, come indagini su terrorismo e criminalità organizzata. Tuttavia, Amnesty International ha ripetutamente documentato casi in cui Pegasus è stato impiegato per colpire giornalisti, attivisti per i diritti umani, dissidenti politici e figure dell'opposizione, minando la libertà di espressione e i diritti fondamentali.
Il nuovo rapporto di Amnesty International evidenzia i gravi rischi per la sicurezza posti da questo tipo di spyware e la necessità di maggiore trasparenza e responsabilità nella vendita e nell'uso di tali strumenti. L'organizzazione chiede ad Apple di intraprendere azioni concrete per risolvere la vulnerabilità di HomeKit e fornire maggiori informazioni sugli attacchi.
Sebbene Apple non abbia divulgato pubblicamente i dettagli tecnici della vulnerabilità di HomeKit, l'azienda sta attivamente lavorando per bloccarne lo sfruttamento. Apple rilascia regolarmente aggiornamenti di sicurezza per risolvere le vulnerabilità zero-day e raccomanda vivamente agli utenti di mantenere i propri dispositivi aggiornati all'ultima versione del software.
Non è la prima volta che lo spyware Pegasus viene utilizzato per colpire giornalisti e attivisti. Nel 2021, un attacco simile era stato scoperto in Messico, prendendo di mira giornalisti e difensori dei diritti umani, anche in quel caso con uno sfruttamento zero-click dell'app iMessage.
L'uso di spyware per colpire giornalisti e attivisti costituisce una grave violazione dei diritti umani. Può avere un effetto paralizzante sulla libertà di espressione e può esporre le persone a rischio di molestie, intimidazioni e persino danni fisici. Questo nuovo rapporto di Amnesty International rafforza la necessità di un dibattito pubblico e di azioni concrete per regolamentare l'uso di questi potenti strumenti di sorveglianza e proteggere i diritti fondamentali delle persone. La comunità internazionale è chiamata a intervenire per prevenire l'abuso di tecnologie che minacciano le libertà democratiche.