Piszę to jako odpowiedź do kilku wątków na ten temat. Wątek w bardzo dużym skrócie porządkuje spekulacje i dezinformację, jaką powszechnie można znaleźć w Internecie i mediach.

1. Co to jest Pegasus
Pegasus to produkt obejmujący system informatyczny, szkolenie oraz wdrożenie (trwające ok 15 tygodni), służący do kontroli bardzo szerokiej gamy urządzeń mobilnych (iOS , Android, Blackberry i Symbian). Produkt jest dostarczany przez Izraelską firmę NSO Group tylko organizacjom rządowym (w praktyce organizacjom, które zaakceptuje izraelski rząd).
Pegasus służy do pełnej infiltracji przy pomocy urządzenia mobilnego, bez wiedzy posiadacza, standardowa instalacja nie pozwala na atakowanie numerów pochodzących z USA (oczywiście jest to tylko decyzja biznesowa a nie ograniczenie techniczne).
2. Co umożliwia Pegasus ?
Ogólnie - wszystko to co może zrobić telefon, czyli znacznie więcej niż może zrobić zwykły użytkownik. W systemach iOS czy Android użytkownik nie ma praw administracyjnych - telefon więc robi tylko to na co pozwala system operacyjny (np. iOS) i twórca aplikacji. Pegasus zdobywa prawa administratora - więc może zrobić znacznie więcej - np. nagrywać wyłączając diody czy powiadomienia, wysyłać SMS usuwając dane z logów.
Pegasus jest tym o czym KGB czy Stasi mogły tylko pomarzyć - wie o czym rozmawiasz, widzi wszystko co widzi kamera, słyszy to co słyszy mikrofon, wie gdzie jesteś, jak szybko się przemieszczasz, z kim i jak często się kontaktujesz, czyta emaile, SMS, nagrywa rozmowy, ekran, widzi wszystko co przechodzi przez Twój telefon włączając to wszystkie zainstalowane na nim aplikacjie. Widzi co i gdzie kupujesz ma dostęp do aplikacji bankowej. Może nawiązywać rozmowy, wysyłać SMSy, komunikaty.

3. Czy Pegasusa można wykryć?
To zależy. W teorii Pegasus może wyczyścić po sobie wszystkie ślady i robi to praktycznie zawsze w przypadku infekcji. Instalacja i używanie, niektórych modułów może jednak pozostawić ślady w logach systemu operacyjnego - gdy programista danego modułu po prostu się zapomni i nie wyczyści logu, lub w sytuacji gdy instalacja nie jest trwała (nie przeżywa restartu telefonu).
Jeśli użytkownik używa korporacyjnej sieci WiFi lub sam zna się na IT to Pegasusa można odnaleźć w ruchu sieciowym. Problem w tym, że każda technika wykrywania staje się szybko nieaktualna, bo NSO group poprawia swój produkt.
Na śladach w logach bazuje CitizenLab i Apple wysyłając powiadomienia o przejęciu urządzenia, jednak brak śladu w logach NIE oznacza, że urządzenie nie było shackowane.

4. Czy Pegasusa kupiła Polska?
Prawdopodobnie tak - sądząc po rachunku z funduszu sprawiedliwości, ale również po usunięciu Polski z listy krajów mogących kupować Pegasusa (rząd Izraelski po protestach z administracji USA usunął z listy klientów kraje uznane za podejrzane - np. kraje arabskie). Ponadto przynajmniej 3 osoby niepowiązane z terroryzmem zostały zainfektowane - bardzo mało prawdopodobne by hackował ich rząd USA czy UK.

5. Czy polski rząd shackował polskiego senatora, adwokata i prokurator ?
Prawdopodobnie tak - użycie Pegausa jest limitowane i b. drogie. Masowe jego używanie jest też niekorzystne dla producenta (błędy zero-day będą szybciej naprawione). Nikt, bez bardzo silnej motywacji tego nie zrobi.
Na czele służb stoją osoby (Kamińsi, Wąsik), które zostały już za takie działania skazane (choć nie ukarane) co podnosi dramatycznie prawdopodobieństwo takiego scenariusza.
Co ciekawe fakt, że polski rząd nie zatarł śladów (atak na Giertycha pochodzi z 2019) mimo iż NSO Group najprawdopodobniej umie już tak stare ślady usunąć wskazuje na dużą amatorszczyznę polskich służb lub na odcięcie dostępu do najnowszych uaktualnień.

6. Czy rząd Izraelski ma dostęp do danych przechwytywanych przez Pegasusa?
Tak - poprzez NSO Group. Infrastruktura przechowująca dane znajduje się u klienta, ale jest dostarczona przez NSO Group. Infrastruktura anonimizująca, zbierająca dane i dokonująca ataków jest natomiast kontrolowana przez NSO cały czas i znajduje się poza kontrolą klienta (np. polskiego rządu). Kiedyś łatwo było ich serwery odnaleźć - dzisiaj po wielu skandalach skuteczniej się ukrywają. W ramach supportu NSO ma też dostęp do instalacji u klienta. Najprawdopodobniej umowa wyklucza dostęp do danych i NSO Group tego nie robi, o ile nie będzie nacisków ze strony własnych służb. Bardzo mało prawdopodobne jest by rząd Izraela próbował pobrać dane amerykańskie czy kogoś z 5 eyes (kraje te i tak mają swoje wersje podobnego oprogramowania do celów, którymi nie chcą się dzielić z Izraelem). W przypadku Polski - Polska najprawdopodobniej nie jest w stanie odkryć dostępu i nie ma silnej dyplomacji by cokolwiek zrobić. Jest to więc jedynie pytanie o wolę rządu Izraela.

7. Czy Pegasus to jedyne takie oprogramowanie?
Nie - takich programów są dziesiątki. Oficjalnie funkcjonujące, legalne firmy specjalizujące się w hackowaniu i sprzedające swoje usługi dla rządów istnieją w niemal każdym kraju Europy (w Polsce nie). Nie tylko telefony, ale również komputery, IoT, sieci Wifi itd. .. Specjalizują się w tym nawet nasi południowi sąsiedzi - Czesi.
Pegasus wyróżna się tym, że jest słynny- od wielu lat. Był też sprzedawany bez większego oglądania się na cele (czy atakowani są jedynie terroryści czy np. politycy, działacze praw człowieka, dziennikarze) - np. do Zjednoczonych Emiratów Arabskich, Maroka, na Węgry do czy Polski. Z tego powodu NSO Group ma duże problemy. Pozwał ją Facebook, Apple a rząd USA przycisnął Izrael. NSO Group ratuje się usuwając z listy potencjalnych klientów rządy autorytarne (w tym Polskę), ale na razie problemy NSO się nie kończą.