Eigenaren van een iPhone zijn de afgelopen jaren meerdere keren het doelwit geweest van zero-click exploits, waarbij de telefoon zonder enige interactie van het slachtoffer met spyware werd geïnfecteerd. Dergelijke exploits zijn echter ook voor Androidtelefoons in omloop, zo stelt Google.

Eerder dit jaar werd een Saoedische activist het doelwit van een zeroday-aanval waarbij een kwetsbaarheid in iMessage werd gebruikt. Het ging om een zero-click exploit die geen enkele interactie van het slachtoffer vereiste. Alleen het versturen van een speciaal geprepareerd iMessage-bericht was voldoende om iPhones met de Pegasus-spyware te infecteren. Een aanvaller hoeft in dit geval alleen het telefoonnummer of Apple ID-gebruikersnaam van het slachtoffer te kennen. Apple kwam op 13 september met een beveiligingsupdate om iOS-gebruikers te beschermen.

Het Canadese Citizen Lab wist de exploit veilig te stellen en deelde die met Google. Het techbedrijf heeft de exploit nu uitgebreid geanalyseerd en de technische details gedeeld. Het is de eerste keer dat Google de werking van een actief gebruikte zero-click exploit beschrijft. In de analyse laat Google ook weten dat NSO Group het niet alleen op iPhones heeft voorzien. "We weten dat NSO soortgelijke zero-click-mogelijkheden gericht tegen Androidtoestellen verkoopt", aldus beveiligingsonderzoeker Ian Beer van Google Project Zero. Beer merkt op dat Google niet over deze exploits beschikt, maar vraagt iedereen die dat wel doet om ze te delen.