Pegasus ha compromesso la sicurezza degli iPhone di alti funzionari UE

Arrivano ulteriori sviluppi legati al “caso” Pegasus. Secondo alcune rilevazioni, pare che lo spyware abbia violato gli iPhone di alti funzionari UE

È trascorso ormai quasi un anno da quando è stata diffusa la notizia di Pegasus, lo spyware progettato da NSO Group e utilizzato indebitamente per spiare l’attività di giornalisti e oppositori di regimi totalitari. Apple ha puntato il dito contro la società israeliana che ha messo la firma sul software, intentando una battaglia legale a difesa dei suoi utenti e dei principi fondanti della sicurezza rispetto a dati sensibili e alle informazioni riservate dei consumatori.

Pegasus iPhone alti funzionari UE
Nuovi sviluppi su Pegasus (AdobeStock)

Proprio l’azienda di Cupertino ha permesso di fare ulteriore luce sulla vicenda, grazie ai messaggi di avviso che Apple ha indirizzato a quei terminali ritenuti compromessi da Pegasus, parallelamente alla chiusura delle falle di sicurezza sfruttate dallo spyware. E si è scoperto che il raggio di azione di quest’ultimo si è esteso fino all’Europa, arrivando a toccare i vertici dell’Unione Europea.

La notizia, riportata soltanto in queste ore da Reuters, ha tutti i crismi della veridicità provenendo da testimonianze degli attori suo malgrado coinvolti della vicenda. In questo senso, tra gli smartphone violati dallo spyware di NSO Group figurano anche quelli di Didier Reynders, dal 2019 insediatosi nella carica di Commissario europeo per la giustizia, e almeno altri quattro membri della Commissione. Secondo quanto riportato dalla fonte, pare che i funzionari siano stati presi di mira da hacker “sponsorizzati da uno Stato”, ma il vero mandante resta ancora nell’ombra, in attesa che le indagini facciano il suo corso.

Pegasus ha sfruttato una vulnerabilità zero-day di iMessage

Pegasus iPhone funzionari UE
Apple ha corretto tutte le vulnerabilità sfruttate da Pegasus (PixaBay)

Sullo sfondo resta quindi l’inquietante vicenda di un software capace di estendersi a macchia d’olio sui dispositivi mobili di autorità di spicco, sfruttando le cosiddette vulnerabilità “zero-day”, ossia sconosciute da Apple. Come abbiamo avuto modo di approfondire in altri articoli, Pegasus non richiede interazioni da parte della vittima, dal momento che è sufficiente ricevere un messaggio su iMessage per compromettere un iPhone in modo irrimediabile; e non ha importanza il fatto che l’utente lo abbia aperto o abbia risposto al mittente.

Questa vulnerabilità è stata corretta da Apple e contestualmente l’azienda di Cupertino ha elaborato, dallo scorso novembre, un sistema di avvisi per informare quegli utenti che sono stati colpiti dal raggio d’azione dello spyware.

Oltre ad Apple, non sono mancate le reazioni contro Pegasus: segnaliamo in quest’ottica il diktat degli Stati Uniti, che ha deciso di vietare l’importazione e l’uso di Pegasus, una mossa quest’ultima che potrebbe essere seguìta anche dalla stessa Unione Europea.