Strach padł na wielu użytkowników telefonów z systemami operacyjnymi iOS i Android, których podobno nie da się w pełni zabezpieczyć przed Pegasusem. Co więcej, większość dostępnych komunikatorów (z których korzystają użytkownicy telefonów) zapewnia wprost proporcjonalne bezpieczeństwo do bezpieczeństwa systemu operacyjnego. Oznacza to, że nieaktualizowany Android, a także iOS bez najnowszych aktualizacji jest bardziej podatny na bezpośrednią inwigilację niż urządzenie w pełni zaktualizowane i zabezpieczone wzorem blokady ekranu, kodem PIN, odciskiem palca albo Face ID (chociaż ta ostatnia technologia nie jest bezpieczna, jeśli chcemy trzymać poufne dane z dala od osób postronnych). Wyjątkiem od tej zasady jest komunikator UseCrypt Messenger, który wykrywa problemy z bezpieczeństwem na smartfonie.

Czy Pegasus potrafi zagrozić użytkownikom Signala albo UseCrypt Messengera?

Komunikator Signal obok UseCrypt Messengera jest uważany za bezpieczny. Wyposażony jest w szyfrowanie end-to-end, a także szyfrowaną bazę. Ale ma też tę wadę – niewystarczająco zabezpiecza dane na urządzeniu, na którym jest zainstalowany. Właśnie z tego powodu komunikator Signal może być używany przez, nazwijmy to, osoby, które działają na własną rękę, a nie jako przedstawiciele profesjonalnych firm, instytucji czy organizacji.
W przypadku UseCrypt Messengera jest używany drugi, niezależny mechanizm, który sprawia, że trzeba zarówno przełamać zabezpieczenia telefonu (np. urządzeniem UFED), jak i odtworzyć klucze kryptograficzne wykorzystywane do ochrony bazy danych aplikacji.

Zastosowanie niezależnego od systemu operacyjnego mechanizmu ochrony danych przechowywanych na urządzeniu w znaczący sposób utrudnia, a wręcz uniemożliwia dokonanie masowej inwigilacji użytkownika. Twórcy oprogramowania takiego jak Pegasus zostaliby zmuszeni do złamania zabezpieczeń urządzenia, które jest bardzo popularne, oraz do wykonania pełnej analizy wstecznej zachowań i metod działania specjalistycznej aplikacji. Przejmowanie danych z komunikatorów WhatsApp, Viber czy Signal jest łatwe do osiągnięcia ze względu na brak zastosowania jakichkolwiek mechanizmów niezależnych od systemu operacyjnego – twórcy Pegasusa musieli więc znaleźć lukę tylko w systemie iOS i Android.

Natomiast w komunikatorze UseCrypt zastosowano także funkcję Panic-Code, dzięki której można wymusić natychmiastowe usuwanie historii wiadomości i wyrejestrowanie numeru z usługi. Próby siłowego łamania hasła dostępu do aplikacji zakończą się podobnym skutkiem — po 10 nieudanych próbach baza aplikacji zostanie w sposób kryptograficznie bezpieczny usunięta z urządzenia. Każdorazowy dostęp do aplikacji można zabezpieczyć kodem lub ustawić, by każda wysyłana wiadomość była usuwana automatycznie z czatu po zadanym przez strony konwersacji okresie czasu.