Cos’è Pegasus, il software che ti infetta lo smartphone con una chiamata WhatsApp
In queste ore Facebook ha confermato al pubblico l'esistenza di una falla di sicurezza all'interno di WhatsApp e consigliato a suo miliardo e mezzo di utenti di aggiornare l'app il più presto possibile. Il motivo dell'urgenza è che di fatto esiste già almeno un software in grado di sfruttare la falla per installare all'interno degli smartphone vittima degli spyware che possono prenderne il controllo quasi totale. Il software in questione si chiama Pegasus, l'ha sviluppato l'azienda israeliana specializzata in cybersorveglianza NSO e non è la prima volta che finisce sotto i riflettori.
Cos'è Pegasus
Si tratta di una sorta di cassetta degli attrezzi digitale, che contiene strumenti avanzati per guadagnare segretamente e a distanza l'accesso a un numero più elevato possibile di modelli di smartphone per spiarne i contenuti. Come un cavallo di Troia, si compone principalmente di due elementi: da una parte un pannello di controllo che va caricato sui computer di chi effettua le operazioni di spionaggio; dall'altra un software che va installato sugli smartphone delle vittime che si occupa di raccogliere tutte le informazioni possibili dal telefono e inviarle a chi sta perpetrando l'attacco. Pegasus viene costantemente aggiornato dagli sviluppatori per almeno due motivi: intanto per infettare un dispositivo ha bisogno di sfruttare falle software o hardware che nel tempo i produttori possono scoprire e tappare, rendendo necessario trovarne di nuove; inoltre per rimanere utile deve poter funzionare anche con i nuovi modelli di smartphone usciti.
A chi è rivolto Pegasus
Sviluppato dall'azienda NSO con sede a Tel Aviv, Pegasus non è un software liberamente in commercio. NSO del resto si descrive come un gruppo che "che fornisce ai governi autorizzati tecnologia utile a combattere criminalità e terrorismo", e in relazione alla scoperta della vulnerabilità di WhatsApp ha dichiarato di non essere mai direttamente responsabile di eventuali operazioni di sorveglianza, e che il suo software è esclusivamente destinati a "intelligence e forze dell'ordine". Stando al laboratorio di ricerca informatica Citizen Lab, il software è impiegato in almeno 45 Paesi tra i quali Israele, Turchia, Tailandia, Qatar, Kenya, Uzbekistan, Mozambico, Marocco, Bahrein, Yemen, Ungheria, Arabia Saudita e Nigeria, in molti dei quali viene utilizzato per prendere di mira non solo criminali comuni e terroristi, ma anche dissidenti, attivisti, avvocati e giornalisti.
Pegasus: la storia
Non è la prima volta che si parla di Pegasus. Le sue tecniche di intrusione vengono periodicamente scoperte e neutralizzate, ma questo non vuol dire che il suo potenziale malevolo possa dirsi sotto controllo: gli sviluppatori del resto hanno contratti con i propri clienti che li spingono ad aggiornare il sistema per trovare vulnerabilità sempre nuove da sfruttare per i suoi scopi. In questo senso, si può parlare di Pegasus come di un servizio più che di un software, e per questi motivi è difficile risalire alla sua data di nascita con precisione, ma la sua scoperta risale al 2016, in un caso molto simile a quello di queste ore: un attacco fallito nei confronti dell'iPhone di un attivista degli Emirati Arabi Uniti. Allora il veicolo di intrusione nel sistema era un messaggio di testo con un link da seguire: il collegamento venne inoltrato al già citato Citizen Lab che lo analizzò svelando per la prima volta i segreti di Pegasus.
Il pericolo corre su WhatsApp
La differenza con l'iterazione precedente del software sta (anche) nel metodo d'attacco, più pericoloso di quelli emersi fino a poco tempo fa. Se in precedenza per infettare uno smartphone occorreva che la vittima cliccasse sul link malevolo inviatole tramite SMS, piattaforme di messaggistica o social network, la falla scoperta all'interno di WhatsApp consente quello che viene definito un attacco zero-clic, che può andare a buon fine senza che l'utente da spiare debba fare nulla. Stando alla descrizione del sistema, la ricezione della chiamata era sufficiente a dare a Pegasus ciò che gli serviva per agire, senza bisogno neppure che la chiamata ricevesse una risposta.