Dokumen hukum yang dirilis sebagai bagian dari perselisihan hukum yang sedang berlangsung antara WhatsApp Meta dan NSO Group telah mengungkapkan bahwa vendor spyware Israel menggunakan beberapa eksploitasi yang menargetkan aplikasi perpesanan untuk mengirimkan Pegasus, termasuk satu eksploitasi bahkan setelah Meta dituntut karena melakukan hal tersebut.
Mereka juga menunjukkan bahwa NSO Group berulang kali menemukan cara untuk memasang alat pengawasan invasif pada perangkat target ketika WhatsApp membangun pertahanan baru untuk melawan ancaman tersebut.
Pada bulan Mei 2019, WhatsApp mengatakan pihaknya memblokir serangan cyber canggih yang mengeksploitasi sistem panggilan videonya untuk mengirimkan malware Pegasus secara diam-diam. Serangan tersebut memanfaatkan kelemahan zero-day yang kemudian dilacak sebagai CVE-2019-3568 (skor CVSS: 9.8), sebuah bug buffer overflow yang kritis dalam fungsi panggilan suara.
Dokumen tersebut sekarang menunjukkan bahwa NSO Group “mengembangkan vektor instalasi lain (dikenal sebagai Erised) yang juga menggunakan server WhatsApp untuk menginstal Pegasus.” Vektor serangan – sebuah eksploitasi zero-click yang dapat membahayakan ponsel korban tanpa ada interaksi apa pun dari korban – dinetralkan beberapa saat setelah Mei 2020, yang menunjukkan bahwa vektor tersebut tetap digunakan bahkan setelah WhatsApp mengajukan gugatan terhadapnya pada Oktober 2019.
Erised diyakini sebagai salah satu dari banyak vektor malware – yang secara kolektif disebut Hummingbird – yang dirancang oleh NSO Group untuk menginstal Pegasus dengan menggunakan WhatsApp sebagai saluran, termasuk yang dilacak sebagai Heaven dan Eden, yang terakhir merupakan nama kode untuk CVE -2019-3568 dan telah digunakan untuk menargetkan sekitar 1.400 perangkat.
“[NSO Group has] mengakui bahwa mereka mengembangkan eksploitasi tersebut dengan mengekstraksi dan mendekompilasi kode WhatsApp, merekayasa balik WhatsApp, dan merancang serta menggunakan 'Server Instalasi WhatsApp' (atau 'WIS') mereka sendiri untuk mengirim pesan dalam format yang salah (yang tidak dapat dikirim oleh klien WhatsApp yang sah) melalui Server WhatsApp dan dengan demikian menyebabkan perangkat target memasang agen spyware Pegasus—semuanya melanggar undang-undang federal dan negara bagian serta ketentuan Layanan WhatsApp yang sederhana,” menurut dokumen pengadilan yang tidak disegel.
Secara khusus, Heaven menggunakan pesan yang dimanipulasi untuk memaksa server sinyal WhatsApp – yang digunakan untuk mengautentikasi klien (yaitu aplikasi yang diinstal) – untuk mengarahkan perangkat target ke server relay pihak ketiga yang dikendalikan oleh NSO Group.
Pembaruan keamanan sisi server yang dilakukan oleh WhatsApp pada akhir tahun 2018 dikatakan telah mendorong perusahaan untuk mengembangkan eksploitasi baru – bernama Eden – pada bulan Februari 2019 yang menghilangkan kebutuhan akan server relai milik NSO Group dan digantikan oleh relai yang dioperasikan oleh WhatsApp.
“NSO menolak untuk menyatakan apakah mereka mengembangkan lebih lanjut Malware Vectors berbasis WhatsApp setelah 10 Mei 2020,” menurut salah satu dokumen. “NSO juga mengakui bahwa vektor malware digunakan untuk berhasil menginstal Pegasus di 'antara ratusan dan puluhan ribu' perangkat.”
Selain itu, pengajuan tersebut memberikan gambaran di balik layar tentang bagaimana Pegasus diinstal pada perangkat target menggunakan WhatsApp, dan bagaimana NSO Group, dan bukan pelanggan, yang mengoperasikan spyware tersebut, bertentangan dengan klaim sebelumnya dari perusahaan Israel.
“Peran pelanggan NSO sangat minim,” demikian isi dokumen tersebut. “Pelanggan hanya perlu memasukkan nomor perangkat target dan 'tekan Instal, dan Pegasus akan menginstal agen pada perangkat dari jarak jauh tanpa keterlibatan apa pun.' Dengan kata lain, pelanggan cukup memesan data perangkat target, dan NSO mengontrol setiap aspek proses pengambilan dan pengiriman data melalui desain Pegasusnya.”
NSO Group telah berulang kali menyatakan bahwa produknya dimaksudkan untuk digunakan untuk memerangi kejahatan serius dan terorisme. Mereka juga menegaskan bahwa kliennya bertanggung jawab untuk mengelola sistem dan memiliki akses terhadap informasi intelijen yang dikumpulkan oleh mereka.
Pada bulan September 2024, Apple mengajukan mosi untuk “secara sukarela” menolak gugatannya terhadap NSO Group, dengan alasan pergeseran lanskap risiko yang dapat mengarah pada paparan informasi “kecerdasan ancaman” yang penting dan bahwa “memiliki potensi untuk menempatkan informasi keamanan penting dalam bahaya. mempertaruhkan.”
Dalam beberapa tahun terakhir, pembuat iPhone terus menambahkan fitur keamanan baru untuk mempersulit serangan spyware tentara bayaran. Dua tahun lalu, mereka memperkenalkan Mode Lockdown sebagai cara untuk memperkuat pertahanan perangkat dengan mengurangi fungsionalitas di berbagai aplikasi seperti FaceTime dan Pesan, serta memblokir profil konfigurasi.
Kemudian awal pekan ini, muncul laporan tentang mekanisme keamanan baru di versi beta iOS 18.2 yang secara otomatis melakukan boot ulang ponsel jika tidak dibuka kuncinya selama 72 jam, sehingga mengharuskan pengguna, termasuk lembaga penegak hukum yang mungkin memiliki akses ke ponsel tersangka, untuk melakukan boot ulang. masukkan kata sandi untuk mengakses perangkat.
Magnet Forensics, yang menawarkan alat ekstraksi data yang disebut GrayKey, mengonfirmasi fitur “reboot ketidakaktifan”, dengan menyatakan bahwa pemicunya “terkait dengan status kunci perangkat” dan “setelah perangkat memasuki status terkunci dan belum dibuka kuncinya dalam waktu 72 jam, itu akan reboot.”
“Karena pengatur waktu reboot tidak aktif yang baru, sekarang menjadi lebih penting dari sebelumnya agar perangkat dicitrakan sesegera mungkin untuk memastikan perolehan data terbanyak yang tersedia,” tambahnya.