เว็บไซต์ Citizen Lab ซึ่งเป็นหน่วยงานวิจัยด้านดิจิทัลและสิทธิมนุษยชน รายงานเมื่อ ๑๓ ก.ย. ๖๔ ว่า Citizen Lab ได้วิเคราะห์โทรศัพท์ของนักเคลื่อนไหวชาวซาอุดีอาระเบีย และตรวจพบการการโจมตีประเภท Zero-day Zero-Click (ช่องโหว่ประเภทที่บริษัทผู้ผลิตตรวจสอบไม่พบ ยังไม่มีการแก้ไข และไม่ต้องการการตอบสนองจากผู้ใช้ เช่น กดลิ้งค์ข้อความ เป็นต้น) บนแอปพลิเคชัน iMessage และมีผลกระทบกับอุปกรณ์ของบริษัท Apple อย่าง iOS, คอมพิวเตอร์ MacOS และนาฬิกา WatchOS
ทาง Citizen Lab วิเคราะห์ว่าเป็นรูปแบบการโจมตีของบริษัทค้าขายสปายแวร์ NSO Group ของอิสราเอล ซึ่งใช้ช่องโหว่การโจมตีที่ตรวจพบเพื่อเข้าควบคุมเครื่องจากระยะไกล ก่อนที่จะฝังสปายแวร์ที่ชื่อว่า Pegasus บนอุปกรณ์ต่าง ๆ ของบริษัท Apple เพื่อดำเนินการสอดแนมข้อมูล โดยมีการใช้งานการโจมตีมาตั้งแต่ ก.พ. ๖๔
Citizen Lab ได้เปิดเผยจุดอ่อนของระบบและโค้ดต่างๆ แก่ทางบริษัท Apple ซึ่งต่อมาถูกเรียกว่าช่องโหว่ CVE-2021-30860 โดยมีรายละเอียดช่องโหว่ว่าเป็นการโจมตีระบบการแปลงไฟล์ ที่เนื้อหาไฟล์ภายในใช้การประมวลผลของ PDF เพื่อดำเนินการเข้าควบคุมเครื่อง ต่อมา ๑๓ ก.ย. ๖๔ บริษัท Apple ได้เผยแพร่โปรแกรมซ่อมแซม (patch) แก้ไขช่องโหว่ CVE-2021-30860 ดังกล่าวแล้ว
ที่มาของการตรวจสอบดังกล่าว เริ่มจากเมื่อ มี.ค. ๖๔ ทาง Citizen Lab ได้รับโทรศัพท์จากนักเคลื่อนไหวชาวซาอุดีอาระเบียซึ่งไม่ประสงค์ออกนามเพื่อให้ดำเนินการตรวจสอบ เมื่อตรวจสอบและวิเคราะห์พบว่าโทรศัพท์ถูกแฮกด้วยสปายแวร์ Pegasus ของบริษัท NSA Group ของอิสราเอล
จากการวิเคราะห์จากด้วยข้อมูลสำรองของโทรศัพท์บน iTune พบว่าไฟล์รูปภาพ .gif จำนวนหลายไฟล์ถูกส่งไปยังเครื่องโทรศัพท์ ก่อนที่เครื่องโทรศัพท์จะโดนแฮกเพื่อฝังสปายแวร์ Pegasus ของบริษัท NSO Group แม้ไฟล์ที่ถูกส่งมาจะมีนามสกุล .gif แต่เนื้อหาไฟล์ภายในกลับเป็นไฟล์ Adobe PSD จำนวนหลายไฟล์ และมีอีก ๔ ไฟล์ ที่มีเนื้อหาภายในเป็น Adobe PDF ที่มีการสตรีมเข้ารหัส JBIG2 ทำให้ระบบประมวลผลที่ชื่อว่า IMTranscoderAgent เกิดการขัดข้องจนกลายเป็นช่องโหว่ในการโจมตี
การวิเคราะห์ไฟล์รูปภาพสกุล .gif ที่พบในโทรศัพท์
หลังจากการตรวจสอบทาง Citizen Lab ได้ดำเนินการส่งข้อมูลเกี่ยวกับการโจมตีที่ตรวจพบไปยังบริษัท Appleเมื่อ ๗ ก.ย. ๖๔ และต่อมาเมื่อ ๑๓ ก.ย. ๖๔ บริษัท Apple ได้ยืนยันว่ามีใช้ประโยชน์การโจมตีรูปแบบดังกล่าวในการสร้างช่องโหว่ โดยที่มีผลต่อ iOS และ MacOS พร้อมออกเป็น CVE-2021-30860
ทาง Citizen Lab สังเกตเห็นองค์ประกอบหลายอย่าง ทำให้ระบุได้ว่าการโจมตีลักษณะนี้ เป็นรูปแบบการโจมตีของบริษัท NSO Group ซึ่งเป็นบริษัทขายเครื่องมือให้รัฐบาลต่าง ๆ ไปติดตามกลุ่มก่อการร้ายและอาชญากร การค้นพบของ Citizen Lab เน้นย้ำถึงความสำคัญของการรักษาความปลอดภัยแอปพลิเคชันรับส่งข้อความยอดนิยมในปัจจุบันซึ่งได้กลายเป็นเป้าหมายหลักในการจารกรรม หากแอปพลิเคชันเหล่านั้นสร้างโดยปราศจากการมุ่งเน้นด้านวิศวกรรมการรักษาความปลอดภัยที่เข้มข้น แอปพลิเคชันเหล่านั้นจะกลายเป็นเป้าหมายหลักสำหรับผู้คุกคาม รวมถึงการดำเนินการจารกรรมจากรัฐ และบริษัทขายสปายแวร์