Google Project Zero wyjaśnił i szczegółowo opisał jak działa oprogramowanie szpiegujące Pegasus. Jak się okazuje do zhakowania iPhone’a tą metodą wykorzystano technologię sprzed 50 lat.
Korzystając z tego exploita, można było potajemnie „złamać” iPhone’a i szpiegować jego właściciela. NSO Group sprzedawała licencje na używanie tego narzędzia organom ścigania i agencjom wywiadowczym na całym świecie.
Aby zainfekować smartfon Pegasusem, trzeba wysłać plik GIF w iMessage, który w rzeczywistości jest plikiem PDF ze strumieniem JBIG2. Technologia JBIG2 jest stosowana w starszych faksach do kompresji obrazów. Opiera się na metodzie zapamiętywania znaku i powtarzania go w różnych miejscach dokumentu lub odtwarzania różnicy między nim a innym znakiem. Aby obliczyć tę różnicę, stosuje się mechanizmy matematyczne z operatorami logicznymi NOT, AND, OR i wykluczającym OR.
Inżynierowie NSO Group znaleźli lukę w systemie iOS. Aplikacja iMessage uruchomiła fałszywy plik GIF, a w nim aktywowany został strumień JBIG2, który infekuje dane systemowe, dając atakującemu nieograniczoną kontrolę nad smartfonem ofiary.
Pracownicy Google Project Zero powiadomili swoich kolegów z Apple o tej luce już latem. Dziura w zabezpieczeniach została załatana 13 września wraz z wydaniem iOS 14.8. Smartfony Apple, które od tego czasu nie były aktualizowane, nadal są zagrożone – nadal mogą być zainfekowane oprogramowaniem szpiegującym Pegasus.