Klanten van spywareleverancier NSO Group hebben vorig jaar zeker drie zero-click exploits ingezet om iPhones met spyware te infecteren, zo stelt Citizen Lab op basis van eigen onderzoek. Bij een zero-click exploit is er geen enkele interactie van het slachtoffer vereist om zijn telefoon te besmetten. Alleen het kennen van bijvoorbeeld een telefoonnummer of Apple ID-gebruikersnaam kan dan al voldoende zijn.

De drie zero-click exploits worden door Citizen Lab LatentImage, FindMyPwn en PwnYourHome genoemd. Hoe LatentImage precies werkt konden de onderzoekers niet achterhalen, aangezien deze exploit zeer weinig sporen achterlaat. In het geval van FindMyPwn gaat het om een tweetraps-exploit, die eerst de Find My-feature van iPhones misbruikt, waarmee gebruikers een verloren of gestolen toestel kunnen vinden, gevolgd door misbruik van een iMessage-proces.

De PwnYourHome is ook een tweetraps-exploit. Het eerste deel betreft de HomeKit-functionaliteit binnen iPhones, gevolgd door een iMessage-proces. HomeKit is een framework van Apple waarmee gebruikers apparaten in hun huis kunnen bedienen, zoals lampen, deuren en thermostaten. Zelf wanneer gebruikers nog nooit van HomeKit hebben gebruikt kunnen ze via de exploit worden aangevallen.

Om iPhone-gebruikers te beschermen tegen aanvallen die misbruik van kwetsbaarheden in iMessage maken kwam Apple met een service genaamd "BlastDoor". Deze service fungeert als een sandbox die onbetrouwbare data van iMessage verwerkt. Het gaat dan bijvoorbeeld om tekst, afbeeldingen, bestanden en video's die de gebruiker in berichten ontvangt en binnen de sandbox worden uitgevoerd. In het geval van de PwnYourHome-exploit weten de aanvallers uit de BlastDoor-sandbox te breken.

Citizen Lab ontdekte dat wanneer iPhone-gebruikers de Lockdown Mode hebben ingeschakeld, die het aanvalsoppervlak van de iPhone moet verkleinen, meldingen liet zien. Mogelijk dat NSO Group later een oplossing hiervoor ontwikkelde. De onderzoekers hebben echter geen succesvolle aanvallen met de PwnYourHome-exploit gezien tegen iPhones waar de Lockdown Mode was ingeschakeld. IPhone-gebruikers die risico op aanvallen lopen worden dan ook geadviseerd om deze mode dan ook in te schakelen. Wat betreft het gebruik van de exploits zijn die onder andere in Mexico waargenomen, waarbij ze tegen mensenrechtenactivisten werden ingezet.

Afsluitend laat Citizen Lab weten dat softwareontwikkelaars, gezien het gebruik van verschillende aanvalsoppervlaktes, holistisch over het beveiligen van apparaten moeten nadenken. Zo kan een aanvaller met informatie van het ene proces een tweede proces aanvallen. Daarnaast laat het onderzoek zien dat NSO Group steeds meer moeite doet om de eigen sporen te verbergen, wat de uitdagingen voor partijen zoals Citizen Lab aantoont. Die moeten aan de ene kant het vrijgeven van informatie balanceren met de mogelijkheid om toekomstige infecties te kunnen detecteren.

Naar aanleiding van informatie die Citizen Lab met Apple deelde kwam het techbedrijf in januari van dit jaar met extra beveiligingsverbeteringen voor HomeKit. Tevens besloot het techbedrijf op basis van informatie die de onderzoekers deelden om in november, december en maart slachtoffers te waarschuwen. Citizen Lab is een onderdeel van de universiteit van Toronto dat onderzoek doet naar het gebruik van politieke macht in cyberspace. Ook doet het veel onderzoek naar het gebruik van spyware tegen activisten, journalisten en dissidenten.