iphone
pioneerdj

Sono mesi che Apple spinge su un concetto pubblicitario e marketing “Privacy. Questo è iPhone”. Peccato che l’allarme proveniente da Amnesty International nell’ambito del “Pegasus Project” dimostrino come anche l’iPhone, con buona pace dell’azienda di Cupertino che ci ha costruito un messaggio marketing potente, sia fortemente criticabile dal punto di vista della privacy. Basta volerlo. Come sempre accade, la sicurezza di un sistema o di un dispositivo, smartphone inclusi, non riguarda tanto la complessità di metterlo in crisi ma l’investimento che si vuole affrontare. In altre parole, non c’è alcuna piattaforma che può definirsi inviolabile: dipende solo da quanto si vuole spendere per “entrarci”. E se Android ha maglie leggermente più larghe, Apple ha sempre tenuto i perimetri di iOS molto stretti (si veda, per esempio, la scelta di autenticare tutte le app che accedono allo Store) proprio per evitare sorprese. Eppure entrambi hanno il medesimo problema: la protezione della privacy è migliorabile. Quantomeno secondo l’indagine di Amnesty International che ha riguardato 50mila utenze telefoniche divenute pubbliche e oggetto di potenziale sorveglianza, tra cui quelle di capi di stato, attivisti, giornalisti e i familiari di Jamal Khashoggi, indicano che lo spyware “Pegasus” dell’azienda israeliana NSO Group è stato usato con successo per facilitare violazioni dei diritti umani a livello globale e su scala massiccia. La ricerca (qui è descritta la metodologia) verte tanto su Android quanto su iOS, mostrando una differenza pressoché nulla se non in termini di meccanismo per perfezionare l’attacco.

Il “Pegasus Project” nasce dalla collaborazione tra oltre 80 giornalisti di 17 mezzi d’informazione di 10 paesi, sotto il coordinamento di “Forbidden Stories”, un organismo senza scopo di lucro che ha sede a Parigi, con l’assistenza tecnica di Amnesty International che ha analizzato i telefoni cellulari per identificare le tracce dello spyware. “Il ‘Pegasus Project’ rivela come lo spyware della NSO Group sia un’arma a disposizione dei governi repressivi che vogliono ridurre al silenzio i giornalisti, attaccare gli attivisti e stroncare il dissenso, mettendo a rischio innumerevoli vite umane”, ha dichiarato Agnés Callamard, segretaria generale di Amnesty International.

“Queste rivelazioni smentiscono le affermazioni della NSO Group secondo cui questi attacchi sono rari e frutto di un uso improprio della sua tecnologia. L’azienda sostiene che il suo spyware sia usato solo per indagare legalmente su criminalità e terrorismo, ma è evidente che la sua tecnologia facilita sistematiche violazioni dei diritti umani. Afferma di agire legalmente, mentre in realtà fa profitti attraverso tali violazioni”, ha proseguito Callamard.

“Le attività di NSO Group evidenziano la complessiva mancanza di regolamentazione grazie alla quale si è creato un far west di violazioni dei diritti umani contro attivisti e giornalisti. Fino a quando le aziende del settore non riusciranno a dimostrare che rispettano i diritti umani, occorre un’immediata moratoria sull’esportazione, sula vendita, sul trasferimento e sull’uso di tecnologia di sorveglianza”, ha concluso Callamard.

In una replica scritta inviata a “Forbidden Stories” e ai suoi partner, la NSO Group ha “fermamente negato (…) false accuse basate su ipotesi errate” e “teorie non avvalorate”, ribadendo che è impegnata in “una missione per salvare vite umane”. Una più ampia sintesi della riposta della NSO Group è disponibile qui.

L’indagine Pegasus Project e gli iPhone

Al centro dell’indagine è lo spyware Pegasus, prodotto dalla NSO Group, che quando s’installa subdolamente sul telefono della vittima, consente di accedere completamente ai messaggi, ai contenuti media, alle mail, al microfono, alla telecamera, alle chiamate e ai contatti. Nei prossimi giorni i partner giornalistici del “Pegasus Project” – tra i quali The Guardian, Le Monde, Süddeutsche Zeitung e The Washington Post – pubblicheranno una serie di articoli sui leader mondiali, gli esponenti politici, gli attivisti per i diritti umani e i giornalisti individuati come potenziali vittime dello spyware.

Dai dati resi pubblici e attraverso le sue indagini, “Forbidden Stories” e i suoi partner giornalistici hanno identificato possibili clienti della NSO Group in 11 stati: Arabia Saudita, Azerbaigian, Bahrein, Emirati Arabi Uniti, India, Kazakistan, Marocco, Messico, Ruanda, Togo e Ungheria. La NSO Group non ha svolto azioni adeguate per fermare l’uso del suo spyware per sorvegliare illegalmente attivisti e giornalisti, pur conoscendo o avendo dovuto conoscere che ciò stava avvenendo. “In primo luogo, la NSO Group dovrebbe mettere subito fuori uso i prodotti forniti ai clienti di cui vi siano prove di un uso improprio. E il ‘Pegasus Project’ ne fornisce in abbondanza”, ha commentato Callamard.

La famiglia Khashoggi presa di mira con Pegasus

Durante l’indagine, nonostante i costanti dinieghi della NSO Group, sono emerse prove secondo le quali la famiglia del giornalista saudita Jamal Khashoggi è stata presa di mira dallo spyware Pegasus prima e dopo la morte di quest’ultimo, il 2 ottobre 2018, a Istanbul ad opera di agenti dello stato saudita. Il Security Lab di Amnesty International ha verificato che lo spyware Pegasus si era installato sul telefono di Hatice Cengiz, la fidanzata di Khashoggi, quattro giorni prima del suo assassinio.

Erano stati sorvegliati anche la moglie di Khashoggi, Hanan Elatr, tra settembre 2017 e aprile 2018, il figlio Adallah e altri familiari in Arabia Saudita e negli Emirati Arabi Uniti. Nella sua nota, la NSO Group ha replicato che la sua “tecnologia non è collegata in alcun modo all’atroce omicidio di Jamal Khashoggi”. L’azienda “ha già indagato su queste accuse, subito dopo l’atroce omicidio, che ribadisce sono prive di fondamento”.

Giornalisti sotto attacco

L’indagine ha finora individuato almeno 180 giornalisti in 20 stati – tra cui Azerbaigian, India, Marocco e Ungheria, dove la repressione contro il giornalismo indipendente è in aumento – potenziali bersagli dello spyware della NSO Group tra il 2016 e giugno 2021.

L’indagine evidenzia i pericoli globali causati dalla sorveglianza illegale:

  • in Messico, il telefono del giornalista Cecilio Pineda era stato infettato dallo spyware Pegasus poche settimane prima del suo omicidio. Il “Pegasus Project” ha individuato almeno 25 giornalisti messicani presi di mira in poco più di due anni. La NSO Group ha dichiarato che, anche se il telefono di Pineda fosse stato infettato, le informazioni raccolte dallo spyware non avrebbero potuto contribuire alla sua morte;
  • in Azerbaigian, uno stato dove riescono ancora a operare ben pochi organi d’informazione indipendenti, sono stati spiati oltre 40 giornalisti. Il Security Lab di Amnesty International ha verificato che il telefono di Sevinc Vaqifqizi, un freelance della tv indipendente Meydan, è stato infettato per due anni fino al maggio 2021;
  • in India, almeno 40 giornalisti di praticamente tutti i principali mezzi d’informazione sono stati spiati tra il 2017 e il 2021. I telefoni di Siddharth Varadarajan e MK Venu, cofondatori dell’organo d’informazione indipendente “The Wire”, sono stati spiati anche nel giugno 2021;
  • sono stati scelti come potenziali bersagli dello spyware Pegasus giornalisti di grandi testate internazionali, come Associated Press, CNN, The New York Times e Reuters. Tra i giornalisti di più alto livello figura Roula Khalaf, direttrice del Financial Times.

“Il numero di giornalisti presi di mira illustra ampiamente come Pegasus sia utilizzato per mettere paura al giornalismo critico. Stiamo parlando del controllo della narrazione pubblica, della resistenza alle inchieste giornalistiche e della soppressione di ogni voce dissidente. Queste rivelazioni devono generare un cambiamento. All’industria della sorveglianza non può più essere concesso un approccio indulgente proprio da parte di quei governi che hanno un interesse a usare la sua tecnologia per violare i diritti umani”, ha ammonito Callamard.

Amnesty International, che già aveva rivelato l’infrastruttura dello spyware Pegasus, ha reso noti tutti i dettagli tecnici attraverso i quali il suo Security Lab ha svolto le indagini nell’ambito del “Pegasus Project”, documentando l’evoluzione degli attacchi dal 2018, con oltre 700 domini riconducibili a Pegasus.

“La NSO Group afferma che il suo spyware non è rilevabile e che è usato solo per legittime indagini di natura penale. Abbiamo prove irrefutabili che queste affermazioni sono un ridicolo falso”, ha dichiarato Etienne Maynier, del Security Lab di Amnesty International.

Nulla indica che i clienti della NSO Group non usino lo spyware Pegasus anche nell’ambito di indagini di natura penale e sul terrorismo e l’indagine ha rinvenuto utenze telefoniche appartenenti anche a presunti criminali.

“Le massicce violazioni dei diritti umani che Pegasus facilita devono finire. La nostra speranza è che le prove schiaccianti che saranno pubblicate questa settimana spingeranno i governi a mettere sotto controllo un’industria della sorveglianza che ora è fuori controllo”, ha aggiunto Maynier.

Rispondendo a richieste di commenti da parte delle organizzazioni giornalistiche coinvolte nel “Pegasus Project”, la NSO Group ha dichiarato di “negare fermamente” le accuse e ha affermato che “molte di esse sono teorie non confermate che sollevano forti dubbi sull’affidabilità delle fonti, così come sulle base delle vostre storie”.

La NSO Group non ha confermato né smentito quali governi siano suoi clienti, pur dichiarando che il “Pegasus Project” ha fatto “ipotesi scorrette” da questo punto di vista. Pur negando complessivamente le accuse a suo carico, la NSO Group “continuerà a indagare su ogni credibile denuncia di uso improprio e prenderà le misure adeguate in base ai risultati di tali indagini”.

Citizen Lab analizza il rapporto di Amnesty su Pegasus Project

Il Citizen Lab ha fornito la seguente valutazione della metodologia di Amnesty:

  • La metodologia descritta da Amnesty per identificare i nomi dei processi Pegasus (e gli indirizzi e-mail collegati alla killchain Pegasus di NSO) è valida. Il metodo si basa sulla correlazione temporale tra la prima apparizione degli elementi nei registri e la comunicazione dei telefoni con i server di installazione Pegasus noti o altri nomi di processo Pegasus.
  • La metodologia descritta da Amnesty per identificare i tempi durante i quali i telefoni sono stati compromessi è valida. Il metodo prevede l’osservazione dei nomi dei processi Pegasus in un file DataUsage.sqlite ottenuto da un backup di iTunes o un file netusage.sqlite ottenuto da un’estrazione completa del filesystem o altri file di registro sul telefono che registrano i nomi dei processi.
  • La metodologia descritta da Amnesty per collegare il compromesso zero-click che hanno osservato su iOS 14.6 a NSO Group è valida. Il metodo è lo stesso di sopra.
  • La metodologia descritta da Amnesty per collegare l’attività osservata che coinvolge i server Amazon CloudFront alla killchain Pegasus di NSO è valida. Il metodo è lo stesso di sopra.
  • Amnesty ha infatti rilevato i server Pegasus versione 4. Citizen Lab e Amnesty Tech hanno condotto la condivisione reciproca dei nomi di dominio della versione 4 che ciascuno di noi ha rilevato a luglio 2020. A quel punto, è diventato chiaro per entrambi i gruppi che sono stati sviluppato in modo indipendente metodi sostanzialmente simili per rilevare l’infrastruttura del gruppo NSO.

Supporto aggiuntivo alla privacy su iPhone

La ricerca del Citizen Lab è arrivata in modo indipendente a molti dei risultati chiave di Amnesty:

  • Citizen Lab ha utilizzato in modo indipendente una metodologia simile a quella di Amnesty International nell’analisi del potenziale compromesso di Pegasus (ovvero, identificare i nomi dei processi in prossimità della comunicazione con i server Pegasus) e ha stilato un elenco di nomi dei processi. Sembra che Amnesty abbia menzionato 45 nomi di processi nella loro bozza di rapporto. Citizen Lab ha calcolato l’intersezione di questo elenco con il proprio elenco e identificato 28 nomi di processi in comune. È così possibile anche confermare di non aver osservato l’elenco di 45 nomi di processi di Amnesty utilizzati in associazione con app benigne o legittime.
  • Citizen Lab ha documentato in modo indipendente lo spyware NSO Pegasus installato tramite compromissioni iMessage zero-day di successo di un dispositivo iPhone 12 Pro Max con iOS 14.6, nonché attacchi iMessage zero-day che hanno installato con successo Pegasus su un dispositivo iPhone SE2 in esecuzione iOS versione 14.4 e un attacco iMessage a zero clic (non zero-day) su un dispositivo iPhone SE2 con iOS 14.0.1. La meccanica dell’exploit zero-click per iOS 14.x sembra essere sostanzialmente diversa dall’exploit Kismet per iOS 13.5.1 e iOS 13.7, suggerendo che si tratta in realtà di un diverso exploit iMessage zero-click.
  • Citizen Lab ha osservato in modo indipendente il nuovo design di NSO Group per la loro infrastruttura nascosta che sembra essere stato lanciato a partire dal 2 settembre 2018, circa un mese dopo che Amnesty Tech e Citizen Lab hanno pubblicato rapporti su NSO Group nell’agosto 2018. Il nuovo design è come Amnesty Tech descrive nella loro bozza di rapporto: “Server URL Shortener” sono separati da “Server di installazione Pegasus” e vengono introdotti “Server DNS di installazione”.
  • Citizen Lab ha condotto in modo indipendente una scansione simile per i nomi di dominio di Pegasus Infection Server , nonché per i nomi di dominio di server di comando e controllo (C&C). Citizen Lab e Amnesty International hanno condotto la condivisione reciproca di questi nomi di dominio versione 4 che è stata rilevata nel luglio 2020.
  • Il gruppo NSO osservato in modo indipendente da Citizen Lab inizia a fare ampio uso dei servizi Amazon, incluso CloudFront, nel 2021.
  • Citizen Lab ha osservato che lo spyware di NSO Group è stato modificato alla fine del 2019 o all’inizio del 2020 per eliminare (in modo incompleto) le informazioni dal file DataUsage.sqlite. Non è stata mai osservata questa anomalia al di fuori dell’infezione da Pegasus e, in ogni caso in cui è stata osservato questa anomalia, è possibile correlarla con altri indicatori dell’infezione da Pegasus.