QuaDream, hanno detto le fonti, è un'azienda israeliana più piccola e di basso profilo che sviluppa anche strumenti di hacking per smartphone destinati a clienti governativi.

Le due aziende rivali hanno ottenuto l'anno scorso la stessa capacità di introdursi a distanza negli iPhone, secondo le cinque fonti, il che significa che entrambe le aziende potevano compromettere i telefoni Apple senza che il proprietario dovesse aprire un link malevolo. Il fatto che due ditte abbiano impiegato la stessa sofisticata tecnica di hacking - nota come "zero-click" - dimostra che i telefoni sono più vulnerabili ai potenti strumenti di spionaggio digitale di quanto l'industria ammetta, ha detto un esperto.

"La gente vuole credere di essere al sicuro e le compagnie telefoniche vogliono farle credere di essere al sicuro. Quello che abbiamo imparato è che non lo sono", ha detto Dave Aitel, socio di Cordyceps Systems, una ditta di cybersicurezza.

Gli esperti che analizzano le intrusioni architettate da NSO Group e QuaDream dall'anno scorso credono che le due aziende abbiano usato exploit software molto simili, conosciuti come ForcedEntry, per dirottare gli iPhone.

Un exploit è un codice informatico progettato per sfruttare una serie di specifiche vulnerabilità del software, dando ad un hacker accesso non autorizzato ai dati.

Gli analisti ritenevano che gli exploit di NSO e QuaDream fossero simili perché sfruttavano molte delle stesse vulnerabilità nascoste in profondità nella piattaforma di messaggistica istantanea di Apple e usavano un approccio simile per impiantare software maligno sui dispositivi bersaglio, secondo tre delle fonti.

Bill Marczak, un ricercatore di sicurezza del cane da guardia digitale Citizen Lab che ha studiato gli strumenti di hacking di entrambe le aziende, ha detto a Reuters che la capacità zero-click di QuaDream sembrava "alla pari" con quella di NSO.

Reuters ha fatto ripetuti tentativi di raggiungere QuaDream per un commento, inviando messaggi a dirigenti e partner commerciali. Un giornalista di Reuters la settimana scorsa ha visitato l'ufficio di QuaDream, nel sobborgo di Tel Aviv di Ramat Gan, ma nessuno ha risposto alla porta. Anche l'avvocato israeliano Vibeke Dank, la cui email era indicata sul modulo di registrazione aziendale di QuaDream, non ha risposto a ripetuti messaggi.

Un portavoce di Apple ha rifiutato di commentare QuaDream o di dire quali azioni, se mai ce ne fossero, intendono intraprendere nei confronti dell'azienda.

ForcedEntry è considerato "uno degli exploit tecnicamente più sofisticati" mai catturati dai ricercatori di sicurezza.

Le due versioni di ForcedEntry erano così simili che quando Apple ha corretto le falle sottostanti nel settembre 2021 ha reso inefficaci sia il software spia di NSO che quello di QuaDream, secondo due persone che hanno familiarità con la questione.

In una dichiarazione scritta, una portavoce di NSO ha detto che l'azienda "non ha collaborato" con QuaDream ma che "l'industria della cyber intelligence continua a crescere rapidamente a livello globale".

Apple ha citato in giudizio NSO Group per ForcedEntry a novembre, sostenendo che NSO aveva violato i termini d'uso di Apple e l'accordo sui servizi. Il caso è ancora in fase iniziale.

Nella sua causa, Apple ha detto che "continuamente e con successo respinge una varietà di tentativi di hacking". NSO ha negato qualsiasi atto illecito.

Le aziende produttrici di spyware hanno a lungo sostenuto di vendere tecnologia ad alta potenza per aiutare i governi a contrastare le minacce alla sicurezza nazionale. Ma gruppi di diritti umani e giornalisti hanno ripetutamente documentato l'uso di spyware per attaccare la società civile, minare l'opposizione politica e interferire con le elezioni.

Apple ha notificato migliaia di obiettivi di ForcedEntry a novembre, facendo capire a funzionari eletti, giornalisti e lavoratori dei diritti umani di tutto il mondo che erano stati messi sotto sorveglianza.

In Uganda, per esempio, ForcedEntry di NSO è stato usato per spiare i diplomatici statunitensi, ha riportato Reuters .

Oltre alla causa di Apple, anche WhatsApp di Meta è in causa per il presunto abuso della sua piattaforma. A novembre, NSO è stata inserita in una lista nera commerciale dal Dipartimento del Commercio degli Stati Uniti per problemi di diritti umani.

A differenza di NSO, QuaDream ha mantenuto un profilo più basso nonostante serva alcuni degli stessi clienti governativi. L'azienda non ha un sito web che pubblicizza i suoi affari e ai dipendenti è stato detto di tenere qualsiasi riferimento al loro datore di lavoro fuori dai social media, secondo una persona che ha familiarità con l'azienda.

REGNO

QuaDream è stata fondata nel 2016 da Ilan Dabelstein, un ex ufficiale militare israeliano, e da due ex dipendenti di NSO, Guy Geva e Nimrod Reznik, secondo i documenti aziendali israeliani e due persone che hanno familiarità con l'attività. Reuters non ha potuto raggiungere i tre dirigenti per un commento.

Come lo spyware Pegasus di NSO, il prodotto di punta di QuaDream - chiamato REIGN - potrebbe prendere il controllo di uno smartphone, raccogliendo messaggi istantanei da servizi come WhatsApp, Telegram e Signal, oltre a e-mail, foto, testi e contatti, secondo due brochure di prodotto del 2019 e 2020 che sono state esaminate da Reuters.

Le capacità della "Premium Collection" di REIGN includevano "registrazioni di chiamate in tempo reale", "attivazione della fotocamera - anteriore e posteriore" e "attivazione del microfono", diceva un opuscolo.

I prezzi sembravano variare. Un sistema QuaDream, che avrebbe dato ai clienti la possibilità di lanciare 50 irruzioni di smartphone all'anno, veniva offerto per 2,2 milioni di dollari esclusi i costi di manutenzione, secondo la brochure del 2019. Due persone che hanno familiarità con le vendite del software hanno detto che il prezzo per REIGN era tipicamente più alto.

Nel corso degli anni, QuaDream e NSO Group hanno impiegato alcuni degli stessi talenti ingegneristici, secondo tre persone che hanno familiarità con la questione. Due di queste fonti hanno detto che le aziende non hanno collaborato ai loro hack dell'iPhone, escogitando i propri modi per sfruttare le vulnerabilità.

Diversi acquirenti di QuaDream si sono anche sovrapposti a quelli di NSO, hanno detto quattro delle fonti, tra cui l'Arabia Saudita e il Messico - entrambi accusati di abusare di software spia per colpire avversari politici.

Uno dei primi clienti di QuaDream è stato il governo di Singapore, hanno detto due delle fonti, e la documentazione esaminata da Reuters mostra che la tecnologia di sorveglianza dell'azienda è stata proposta anche al governo indonesiano. Reuters non ha potuto determinare se l'Indonesia è diventata un cliente.

I funzionari messicani, singaporiani, indonesiani e sauditi non hanno risposto ai messaggi che cercavano un commento su QuaDream.