NSO Group, la società che ha realizzato lo spyware Pegasus che sarebbe stato utilizzato per prendere di mira i telefoni di giornalisti, attivisti e politici, ha affermato che i suoi clienti sono responsabili dell’uso improprio dei suoi prodotti.
Pegasus è uno spyware gestito e concesso in licenza ai governi da una società chiamata NSO Group e utilizzato dagli operatori governativi per estrarre informazioni da iPhone e telefoni Android e per tracciare e monitorare le persone che li utilizzano. Amnesty International e Forbidden Stories, in collaborazione con un consorzio di oltre una dozzina di testate mondiali tra cui The Washington Post e The Guardian, hanno pubblicato una serie di rapporti coordinati, accusando fondamentalmente NSO di essere poco chiara su chi esattamente stia usando il loro spyware e quanto viene utilizzato. In altre parole, l’azienda starebbe fornendo pistole informatiche senza realmente controllare gli ID di chi le usa e senza eseguire controlli di base in migliaia di casi.
Secondo questi rapporti, i regimi autoritari usano Pegasus per prendere di mira attivisti, diplomatici, politici e altri personaggi a loro scomodi. NSO si difende affermando di non avere accesso ai dati degli obiettivi dei clienti né di utilizzare la propria tecnologia, visto che viene semplicemente concessa in licenza a clienti controllati dal governo. Tra l’altro, Pegasus può infettare un iPhone con iOS 14.6 utilizzando un exploit zero-click, il che significa che può essere installato senza alcun input da parte dell’utente.
NSO ha poi aggiunto che l’elenco di 50.000 potenziali obiettivi sarebbe stato preso da un server del gruppo a Cipro, ma la società afferma di non avere server lì: “E in secondo luogo, non abbiamo alcun dato dei nostri clienti. Inoltre, i clienti non sono correlati tra loro, poiché ogni cliente è separato. Quindi non esiste un elenco come questo da nessuna parte. E il numero di potenziali obiettivi riportato dai media non riflette il modo in cui Pegasus lavora. È un numero folle! I nostri clienti hanno una media di 100 obiettivi all’anno. Dall’inizio della nostra attività, non abbiamo raggiungo i 50.000 obiettivi in totale“.
NSO Group afferma inoltre che, a prescindere da tutto questo, non può essere ritenuta responsabile per le azioni dei suoi clienti: “Se sono il produttore di un’auto e la usi per ammazzare qualcuno, non vieni da me, vai dall’autista. Inviamo il sistema ai governi, otteniamo tutti gli accreditamenti corretti e facciamo tutto legalmente. E se un cliente decide di abusare del sistema, non sarà più nostro cliente. Ma tutte le accuse dovrebbero essere rivolte al cliente“.
L’azienda ha anche affermato che indagherà a fondo su qualsiasi prova credibile di un uso improprio delle sue tecnologie, chiudendo il sistema ove necessario.
Il CEO di NSO Group, Shalev Hulio, afferma inoltre che le persone che non sono criminali non dovrebbero aver paura di essere sorvegliate. NSO Group afferma di vendere i suoi strumenti ai governi per aiutarli a catturare criminali come terroristi. Tuttavia, Hulio ha ammesso di non poter controllare ciò che i governi alla fine fanno con tali strumenti. “Stiamo vendendo i nostri prodotti ai governi. Non abbiamo modo di monitorare ciò che fanno quei governi”. Hulio ha poi aggiunto che il gruppo NSO dispone di meccanismi per rilevare quando si verificano abusi in modo che l’azienda possa “spegnerli”.
Il CEO ha quindi affermato che l’utente medio non ha nulla di cui preoccuparsi. Sebbene lo spyware di NSO Group possa penetrare negli ultimi iPhone con software aggiornato, spesso senza alcuna azione da parte dell’utente, il tool è rivolto solo ai criminali anche a causa degli elevati costi: “Le persone che non sono criminali, non i Bin Laden del mondo, non hanno nulla di cui aver paura. Possono assolutamente fidarsi della sicurezza e della privacy dei loro dispositivi Google e Apple“.