Apple demandó a NSO Group y su empresa matriz Q Cyber Technologies en un tribunal federal de los Estados Unidos, que consideró ilegal apuntar a los usuarios con su herramienta de seguimiento Pegasus, otro fracaso del proveedor de spyware israelí.
El gigante tecnológico con sede en Cupertin describió al Grupo NSO como «piratas informáticos notorios: mercenarios amorales del siglo XXI que han creado un aparato de rastreo cibernético altamente sofisticado que provoca abusos rutinarios y flagrantes».
Además, la demanda busca evitar de forma permanente que la infame empresa de hackers a sueldo se infiltre en cualquier software, servicio o dispositivo de Apple. El fabricante del iPhone, solo, también reveló sus planes para alertar a los objetivos de los ataques de software espía patrocinados por el estado y prometió $ 10 millones, así como cualquier daño financiero obtenido en la demanda, a grupos y defensores de la vigilancia cibernética.
Con este fin, la empresa tiene la intención de mostrar una «Notificación de amenaza» después de que los usuarios objetivo inicien sesión en appleid.apple[.]com, junto con el envío de correos electrónicos y alertas de iMessage a direcciones de correo electrónico y números de teléfono asociados con las identificaciones de usuario de Apple.
«Los actores patrocinados por el estado como NSO Group están gastando millones de dólares en tecnología de seguimiento sofisticada sin una responsabilidad efectiva. Eso debe cambiar», dijo Craig Federighi, vicepresidente senior de ingeniería de software de Apple. «Los dispositivos de Apple son el hardware de consumo más seguro del mercado, pero las empresas privadas de spyware patrocinadas por el estado se han vuelto aún más peligrosas».
Pegasus, que generalmente se instala utilizando exploits de «clic cero» que infectan los dispositivos específicos sin ninguna interacción del usuario, está diseñado como un software espía invasivo de «grado militar» que puede filtrar información personal confidencial y de geolocalización y activar en secreto las cámaras y los micrófonos de los teléfonos. .
La demanda presentada por Apple se refiere específicamente al uso indebido de FORCEDENTRY en iMessage, que se utilizó para eludir a los guardias de seguridad de iOS y se dirigió a nueve activistas de Bahrein. La compañía dijo que los atacantes crearon más de 100 ID de Apple falsas para enviar datos maliciosos a los dispositivos de las víctimas, lo que permitió efectivamente a NSO Group o a sus clientes entregar e instalar el software espía Pegasus sin su conocimiento. Apple resolvió el error del día cero en septiembre.
«Los datos abusivos se enviaron al teléfono objetivo a través del servicio iMessage de Apple, que prohibía iniciar sesión en el dispositivo Apple objetivo, por lo que los acusados podían entregar en secreto la carga útil de Pegasus a través de un archivo más grande», dijo Apple en un comunicado. «Este archivo más grande se almacenaría temporalmente en forma encriptada e ilegible en Apple en uno de los servidores iCloud de Apple en los Estados Unidos o en el extranjero para su entrega a su destino».
El desarrollo se produce como resultado de las amplias sanciones impuestas por el gobierno de EE. UU. a principios de este mes al Grupo NSO por desarrollar y entregar tecnologías de vigilancia sofisticadas a gobiernos extranjeros, que luego utilizaron herramientas de espionaje para atacar a periodistas, activistas, disidentes, académicos y funcionarios gubernamentales en todo todos los países. mundo. A principios de esta semana, MIT Technology Review anunció que las sanciones tuvieron un «impacto más profundo» en la moral y las perspectivas futuras de la empresa.
«La NSO está consternada por la decisión de que nuestras tecnologías respaldan los intereses y políticas de seguridad nacional de EE. UU. al prevenir el terrorismo y el crimen, y presionaremos para que se revoque la decisión», dijo la compañía después del anuncio.
A pesar de las repetidas afirmaciones de que su software se vende solo a los gobiernos y las fuerzas del orden y que tiene barreras contra el abuso, muchos casos recurrentes han creado un patrón recurrente en el que los regímenes autoritarios han aplicado mal el spyware para alcanzar un objetivo e infectar a miembros de sociedad civil, por no hablar de los principales clientes con un historial deficiente en materia de derechos humanos.
«Se han salvado miles de vidas en todo el mundo gracias a las tecnologías de NSO Group utilizadas por sus clientes», dijo un portavoz de la compañía en un comunicado compartido con The Hacker News. «Los pedófilos y los terroristas son libres de operar en refugios tecnológicos seguros, y estamos brindando a los gobiernos las herramientas legales para combatirlo. La NSO continuará defendiendo la verdad».
La demanda también refleja una acción similar de Meta (antes Facebook) en octubre de 2019, cuando la empresa acudió a los tribunales por explotar un error en su aplicación de mensajería WhatsApp para instalar Pegasus, lo que le permitió rastrear 1.400 dispositivos móviles pertenecientes a diplomáticos y periodistas. y activistas de derechos humanos. El 8 de noviembre de 2021, el Tribunal de Apelaciones del Noveno Distrito de EE. UU. en San Francisco rechazó la afirmación de NSO Group de que era inmune a la demanda porque actuó como agente de gobiernos soberanos.
«Los pasos que Apple está tomando hoy enviarán un mensaje claro: en una sociedad libre, es inaceptable armar poderosos spyware patrocinados por el estado contra usuarios inocentes y aquellos que están tratando de hacer del mundo un lugar mejor», Ivan Krstic, jefe de Apple. ejecutivo. ingeniería y arquitectura de seguridad, él dijo en tuit.
