De iPhones van verschillende activisten uit Bahrein zijn tussen juni 2020 en februari 2021 via verschillende exploits voor kwetsbaarheden in iMessage besmet geraakt met de Pegasus-spyware. Twee van de exploits vereisten geen interactie van slachtoffers en één van deze exploits wist een nieuwe beveiligingsmaatregel van Apple genaamd BlastDoor te omzeilen. Dat stellen onderzoekers van Citizen Lab, onderdeel van de universiteit van Toronto, dat onderzoek doet naar het gebruik van politieke macht in cyberspace.

Volgens de onderzoekers zijn de aanvallen zeer waarschijnlijk uitgevoerd door de Bahreinse overheid. De eerste zero-click iMessage-exploit die volgens de onderzoekers werd gebruikt kreeg de naam Kismet en werkte tegen iOS 13.5.1 en 13.7. Op het moment van de aanvallen was er geen beveiligingsupdate van Apple voor de kwetsbaarheid beschikbaar. Alleen het versturen van een speciaal geprepareerd bericht was voldoende om via deze exploit een iPhone met de Pegasus-spyware te infecteren.

Via de Pegasus-spyware is het mogelijk om slachtoffers via hun microfoon en camera te bespioneren en gesprekken en communicatie via WhatsApp, Gmail, Viber, Facebook, Telegram, Skype, WeChat en andere apps af te luisteren en onderscheppen, alsmede de locatie te bepalen. De spyware, ontwikkeld door de NSO Group, wordt al zeker sinds 2016 via zeroday-aanvallen verspreid. Onlangs lieten mediaorganisaties en onderzoekers weten dat Pegasus wereldwijd is ingezet tegen activisten, journalisten en politici.

In september 2020 werd een andere Bahreinse activist het doelwit van een aanval. Deze activist had een iPhone met iOS 14. In plaats van een zero-click exploit, waarbij er geen interactie van het slachtoffer is vereist, werd bij deze aanval een bericht met een link naar een malafide website gebruikt. De onderzoekers stellen dat de NSO Group mogelijk op een "one-click" exploit terugviel vanwege een nieuwe beveiligingsmaatregel die Apple aan iOS had toegevoegd genaamd BlastDoor. Deze maatregel moet zero-click exploits in iMessage lastiger maken. Bij een one-click aanval moet het slachtoffer zelf nog een link openen.

In februari 2021 zagen de onderzoekers dat de NSO Group over een nieuwe zero-click exploit voor iMessage beschikte die de BlastDoor-feature omzeilde. Deze exploit kreeg de naam ForcedEntry en is als zeroday tegen iOS versie 14.4 en 14.6 ingezet.

De onderzoekers merken op dat de beschreven aanvallen voorkomen hadden kunnen worden als iMessage en FaceTime waren uitgeschakeld. De NSO Group heeft echter ook andere chatapps in het verleden gebruikt om spyware te verspreiden, zoals WhatsApp. Het uitschakelen van iMessage en FaceTime had dan ook geen volledige bescherming tegen zero-click-aanvallen geboden, zo merken ze op. Daarnaast zou het uitschakelen van iMessage ervoor zorgen dat berichten onversleuteld worden verstuurd, wat het eenvoudig voor aanvallers maakt om ze te onderscheppen.