トロント大学のセキュリティ研究所であるシチズンラボ(Citizen Lab)が4月18日に発表したレポートによると、2022年にNSOの顧客がiOS 15とiOS 16を標的にしたゼロクリック攻撃を少なくとも3回展開したという。当初、被害者の名前は伏せられていたが、その後、メキシコの活動家が標的となったことが明らかになった。
「HomeKit」と「iPhoneを探す」を対象にした攻撃は、それぞれ「PWNYOURHOME」と「FINDMYPWN」と呼ばれる。これらの攻撃は、標的のスマートフォンにNSOのスパイウェア「Pegasus」をインストールする目的で2022年6月以降実施された。いずれの攻撃もiMessageを悪用し、デバイスのより多くの部分にアクセスするためにOSの異なる部分をハッキングする「連鎖型」と呼ばれる攻撃で、ユーザーが一度もクリックすることなく感染する可能性がある。また、HomeKitを対象にした攻撃は、ユーザーが過去にアプリでスマートホームを設定したことがなくても感染する恐れがあるという。
しかし、HomeKitのハッキングに関してはアップルのロックダウンモードが検知し、このモードを有効にしていたユーザーに警告を発した。ロックダウンモードはiOSのオプション機能で、アプリやウェブサイトの機能を制限することでNSOの「Pegasus」のようなスパイウェアから端末を守る機能だ。アップルによると、PWNYOURHOMEとFINDMYPWNで利用されたiOS 15と16の脆弱性を修正するパッチはすでに配布済みという。
アップルの広報担当者であるScott Radcliffeは、声明の中で次のように述べた。「国家が支援するスパイウェア開発企業の危険性はますます高まっている。これらの脅威の影響を受けるユーザーは限られているものの、我々はユーザーに対するあらゆる攻撃を深刻に受け止めており、防御策を講じ続けている。当社やセキュリティ研究者が今回の攻撃を把握する前にロックダウンモードが巧妙な攻撃を検知し、ただちにユーザーに警告を発したことをうれしく思う」
