Oltre al gruppo NSO, una seconda società di sorveglianza ha utilizzato l'exploit zero-click dell'iPhone per spiare gli utenti.
Secondo Reuters, l'azienda QuaDream stava utilizzando allo stesso modo l'exploit zero-click per spiare i suoi obiettivi senza bisogno di indurli a scaricare o fare clic su qualsiasi cosa. Fonti affermano che QuaDream abbia iniziato a utilizzare questo exploit ForcedEntry in iMessage, scoperto per la prima volta a settembre 2021. Apple si è affrettata a correggere l'exploit nello stesso mese.
Lo spyware di punta di QuaDream, soprannominato REIGN, ha funzionato in modo molto simile allo spyware Pegasus di NSO Group installando se stesso sui dispositivi di destinazione senza preavviso o necessità di interazione da parte dell'utente. Una volta sul posto, ha iniziato a raccogliere informazioni di contatto, e-mail, messaggi da varie app di messaggistica e foto. Secondo una brochure acquisita da Reuters, REIGN offriva anche la registrazione delle chiamate e l'attivazione di videocamera/microfono.
QuaDream è sospettato di utilizzare lo stesso exploit di NSO Group perché, secondo le fonti, entrambi i programmi spyware hanno sfruttato vulnerabilità simili. Entrambi hanno anche utilizzato un approccio simile per l'installazione di software dannoso e la patch di Apple è riuscita a fermarli entrambi.
Sebbene sia stata affrontata la vulnerabilità zero-click in iMessage, tagliando efficacemente sia Pegasus che REIGN, non è una soluzione permanente. Come sottolinea Reuters, gli smartphone non sono (e probabilmente non lo saranno mai) completamente al sicuro da ogni possibile forma di attacco.
