Een exploit die werd ontwikkeld door de NSO Group voor een kwetsbaarheid in iMessage en werd gebruikt bij aanvallen tegen activisten, is technisch één van de meest geavanceerde ooit gezien, zo stelt Google. Volgens Google staan de aanvalsmogelijkheden die de NSO Group ontwikkelt gelijk aan die van een handvol statelijke actoren.

De NSO Group ontwikkelt de Pegasus-spyware en levert die inclusief exploits aan klanten. Die kunnen zo hun doelwitten met de spyware infecteren. Via de Pegasus-spyware is het mogelijk om slachtoffers via hun microfoon en camera te bespioneren en gesprekken en communicatie via allerlei chatapps af te luisteren en onderscheppen. Ook is het mogelijk om de locatie van slachtoffers te achterhalen.

In het verleden maakte de NSO Group verschillende keren gebruik van kwetsbaarheden in iMessage. Daarop ontwikkelde Apple een nieuwe beveiligingstechnologie genaamd BlastDoor. In februari van dit jaar zagen onderzoekers van Citizen Lab dat de NSO Group over een nieuwe zero-click exploit voor iMessage beschikte die de BlastDoor-feature omzeilde.

Deze exploit kreeg de naam ForcedEntry en is als zeroday tegen iOS versie 14.4 en 14.6 ingezet. Alleen het versturen van een speciaal geprepareerd iMessage-bericht was voldoende om iPhones met spyware te infecteren. Google maakte een analyse van de exploit en noemt die "behoorlijk verbluffend, en tegelijkertijd behoorlijk beangstigend."

De exploit maakt misbruik van een kwetsbaarheid in een legacy tool voor het verwerken van tekst in afbeeldingen van een fysieke scanner. Daarnaast wordt er geen gebruikgemaakt van JavaScript en is er ook geen verbinding met een command & control-server van de aanvallers, zoals bij veel andere exploits wel het geval is. ForcedEntry maakt gebruik van een eigen gevirtualiseerde omgeving die binnen iMessage draait.

Volgens John Scott-Railton, onderzoeker van Citizen Lab, laat de analyse van Google zien hoe gevaarlijk commercieel ontwikkelde malware kan zijn. "Dit staat gelijk aan de mogelijkheden van statelijke actoren", aldus Scott-Railton tegenover Wired. Ook hij noemt de exploit zeer geraffineerd en wanneer het door nietsontziende autocraten wordt ingezet "helemaal beangstigend".

"En het doet je afvragen wat erop dit moment nog meer wordt gebruikt en wacht om te worden ontdekt. Als dit de dreiging is waar de burgermaatschappij mee te maken heeft, is het echt een noodsituatie." Volgens Google-onderzoekers Ian Beer en Samuel Groß is de NSO Group niet de enige met deze mogelijkheden. "Er zijn veel bedrijven die soortgelijke diensten bieden die waarschijnlijk hetzelfde doen. Het is alleen dat dit keer NSO het bedrijf was dat werd betrapt."