E se Pegasus riuscisse a entrare anche nei server di Facebook, Apple, Google, Amazon e Microsoft, oltre che in quelli di Whatsapp? Era il mese di maggio quando la società posseduta da Facebook ammetteva che la privacy delle conversazioni degli utenti era stata violata da uno spyware, un programma-spia. Sviluppato dalla società israeliana Nso Group, Pegasus aveva potuto sfruttare una vulnerabilità della piattaforma software di WhatsApp. E questo malware, d’altra parte, è noto ai ricercatori di cybersicurezza da anni.
A distanza di mesi dall’episodio di WhatsApp la stampa di tutto il mondo è tornata a parlarne. Un articolo del Financial Times ha segnalato che grazie a un aggiornamento Pegasus ha acquistato nuove abilità e può ora, potenzialmente, ottenere le credenziali di accesso ai database di grandi servizi cloud e social network, per poi spiare e sottrarre informazioni di ogni genere. Per intenderci, sono coinvolte da questo rischio applicazioni come Facebook Messenger, Google Drive, Apple iCloud e anche il cloud di Amazon, e quel che è più grave è che il programma può estrapolare dati anche in presenza di crittografia.
Stando alle rivelazioni delle fonti confidenziali del Financial Times e ad alcuni documenti trapelati, Q-Cyber (una società del gruppo Nso) starebbe pubblicizzando questa nuova abilità di Pegasus, nel tentativo di venderlo a nuovi clienti. Nei documenti commerciali, secondo le fonti, si legge che il malware può “recuperare le chiavi che aprono le cassaforti in cloud”, e da cui “sincronizzare ed estrarre dati”.
Quando uno smartphone infettato si collega al Web server di un servizio come Google Drive, Facebook Messenger o iCloud, lo spyware permette a chi lo controlla di scaricare l’intera cronologia delle attività online: conversazioni, dati di geolocalizzazione, fotografie, file audio, video caricati nel cloud. I file vengono inviati ai server di Nso, restando disponibili anche qualora l’infezione venga rimossa dal telefono. Facebook, Apple, Google e Amazon, invece, hanno dichiarato di non avere traccia di avvenute violazioni.
Ma chi sono i clienti di Nso? Potenzialmente, anche governi, forze di polizia, agenzie di intelligence. La società israeliana ha fatto sapere ai giornalisti di non aver mai venduto questo prodotto a nessuno“Stato canaglia”, ma solamente a governi impegnati in indagini antiterrorismo, che dunque hanno leciti motivi per spiare le conversazioni e le attività online di potenziali sospetti. A volte però il confine è ambiguo, o ipocritamente ambiguo. Già nel 2017, per esempio, associazioni no-profit denunciavano come il governo messicano avesse usato Pegasus per hackerare i telefoni di giornalisti, attivisti e avvocati.
L’anno scorso, invece, l’associazione canadese Citizen Lab ha trovato tracce dei software di Nso nel telefono di Omar Abdulaziz, un dissidente saudita (rifugiato in Canada) che era in contatto con il giornalista Jamal Khashoggi.
Quel che è certo è che le abilità di strumenti come Pegasus sono molto appetibili per i governi, specie per quelli sprovvisti di budget e capacità sufficienti per sviluppare internamente degli strumenti analoghi. Ma si apre una questione etica e politica: è giusto che software di questo tipo possano essere sviluppati da società private, senza una regolamentazione? “Nelle mani sbagliate”, osserva Mike Beck, global head of threat analysis di Darktrace, “questo malware potrebbe essere utilizzato per raccogliere informazioni di intelligence sul cittadino medio e persino contro altri Stati nazionali, all’interno di una dinamica di guerra informatica”.