Google的安全研究人員對NSO集團的一個零點擊iMessage進行了深入研究，並揭示了該公司攻擊的複雜性。 Google Project Zero（零點專案）指出，ForcedEntry零點擊漏洞–它已被用來針對活動家和記者–是”我們所見過的技術中最複雜的漏洞之一”。

另外，它還說明瞭NSO集團的能力可以跟那些國家行為者相媲美。

蘋果於2021年9月中旬在iOS 14.8中修補了零點擊漏洞，指定為CVE-2021-30860。

該漏洞超越了所謂的一鍵式點擊，即依靠目標點擊一個連結。 Project Zero指出，NSO集團開發的PegASUS軟體的初始入口是iMessage的加密信息平臺。 研究人員寫道：「這意味著只需要受害者用他們的電話號碼或AppleID使用者名就可以被定為目標。 ”

一旦消息被發送給使用者，該漏洞就能依賴於iMessage接受和解碼GIF圖像等檔的方式的漏洞。 從那裡開始，它會欺騙平臺打開惡意的PDF而不需要使用者的任何互動。

更具體地說，確切的漏洞存在於一個用於識別圖像中文本的傳統壓縮工具中。 然而一旦被利用，它允許NSO集團的客戶完全接管一部iPhone。

該攻擊的複雜性的跡象超出了最初的利用。 據Project Zero稱，ForcedEntry甚至還建立了自己的虛擬化命令和控制環境，而不是直接與伺服器進行通信，這使得它更難被發現。

像ForcedEntry這樣由NSO集團製造的攻擊已經被政府多次用來攻擊記者、活動家和政治異見人士。 至少在一個案例中，NSO集團的間諜軟體被用來對美國國務院官員發起定向攻擊。

蘋果早在11月就起訴了NSO集團以尋求讓該集團為其對iPhone用戶的監控負責。 12月，有報導稱，在訴訟和批評的壓力下，NSO集團正在考慮放棄其Pegasus間諜軟體。