Hintertüren

Die Antwort lautet: Ja.
(Die Antwort auf die im Titel gestellte Frage.)
Der Hinweis im Text, nicht auf unbekannte Links zu klicken, ist völlig irreführend. Durch Klick auf einen Link fängt man sich höchstens Phishing oder "normale" Schädlinge ein. Das ist ja so oldschool.
Pegasus kommt ohne irgendeine Benutzer-Interaktion auf die Geräte, indem es vorhandene Hintertüren benutzt. Die gibt es sowohl bei Apple, als auch in Android-Apps.
Dokumentiert ist der Eintritt über eine Sicherheitslücke in iMessage. Das fällt übrigens seit zehn Jahren immer wieder durch Hintertüren - ähm, merkwürdige "Sicherheitslücken" - auf. Weitere Apple-Komponenten (z.B. Facetime) wurden ja im Text schon genannt. Ob Apple für den Einbau der Hintertüren bezahlt wird oder dazu gezwungen (mit NSL), wissen wir nicht.
Auf Android gibt es zum einen Hersteller-Apps. So wurde in Samsungs vorgeblicher "Schutz"-App Knox 2017 selber eine Sicherheitslücke gefunden, die für Infektionen benutzt werden kann. Zum anderen kann jede App (außer FOSS) eine oder mehrere Hintertüren enthalten. Nachweislich ist Pegasus durch Ausnutzen einer "Sicherheitslücke" in WhatsApp (US-Produkt!) unerkannt auf Android-Smartphones gelangt. WhatsApp hat in den vergangenen fünf Jahren 31 (einunddreißig!) Sicherheitslücken aufzuweisen ...