iPhone因安全漏洞上热搜,苹果:暂时无法修复,法国总统也中招 profile-avatar

只知道手机号码,就能完成攻击

明敏 发自 凹非寺

量子位 报道 | 公众号 QbitAI

iPhone又双叒被曝存在安全隐患了。

只要发送钓鱼链接,无论你点不点击,你的信息都可以被窃取,甚至连麦克风、摄像头都能被控制!

此消息一出,直接登顶微博热搜第一。

苹果官方表示:目前这个漏洞无法被修复,但问题不大。

而这一切都源于一个间谍软件——Pegasus

难道又是什么黑客组织兴风作浪?

还真不是,它的“幕后主使”居然是一家以色列的正规公司——NSO Group。

10年来他们靠着售卖间谍软件监控隐私,生意做的是风生水起,客户涉及各国军方组织、执法、情报部门。

不过最近他们遭殃了。

因为17家国际媒体揭露,NSO正在利用手机漏洞秘密监控各国政要人士、记者、律师等。

这也是为什么苹果会说漏洞问题不大的主要原因。

因为这种间谍软件的攻击非常复杂、成本也高达数百万美元,一般都只是针对特定人士,普通人受到攻击的可能性很低。

比如这次,首当其冲的就是法国总统马克龙、伊拉克总统和南非总统在内的13位国家首脑。

据报道,目前全球潜在被监控的设备已经超过5万台。

涉及阿塞拜疆、巴林、匈牙利、印度、哈萨克斯坦、摩洛哥等34个国家。

仅在墨西哥,就有1.5万台左右手机被监控。

600多位政界人士或被监控

原本,Pegasus是由以色列NSO Group开发的一款军用级间谍软件,被用于监控、追踪罪犯和恐怖分子。

他们打出了“促进全球安全和稳定”的口号。

但是《华盛顿邮报》、《卫报》、《泰晤士报》在内的17家国际媒体联合调查后表明,事实可能并非如此。

他们披露出一份约有5万个电话号码的监控名单,这其中包括34个国家(地区)的600多名政府官员和政界人士的电话号码。

调查机构用名单中涉及的67台设备做验证后,发现其中23部电话被成功入侵、14部有入侵迹象。

此外他们还发现,这份监控名单中涉及了大约20个国家的新闻记者及其亲友,此前死于离奇暗杀的沙特阿拉伯记者卡舒吉的未婚妻及同事,都出现在了这份名单上。

从7月19日开始,各大国际媒体纷纷报道此事,在社会上引起了极大轰动。

但对于以上的所有指控,NSO Group全盘否认

它们在一份声明中强调,Pegasus只售卖给国家军方、执法、情报部门,并表示Pegasus和卡舒吉被杀案件没有关系。

还表示这份名单也不是来自于他们的数据库,其CEO称他们没有服务器可以窃取到这些数据。

与此同时,传言为NSO客户的印度政府、匈牙利政府和摩洛哥政府都表示和NSO没有任何关系。

不过这样的回应显然没有什么人买账。

苹果官方表示会不遗余力地保护所有用户,不断为他们的设备和数据,增添新的保护。

Facebook则大力呼吁苹果合作,一起对抗间谍软件。

亚马逊也宣布关闭与NSO Group相关的网络基础设施及其账户。

Pegasus是什么?

话说回来,Pegasus到底是怎样攻破这么多手机的呢?

首先要知道的是,几乎所有设备都容易被它攻击。

不只是iOS系统,安卓也同样存在风险。

它可以监控用户的通话、信息、录音、录像、定位,甚至连你见过什么人它都可以知道。

起初,它是以钓鱼链接的方式来入侵手机。

通过发送大量垃圾短信,在其中附带一条恶意链接,只要用户点击就会中招。

但是现在它已经升级了,即使用户什么都不点也能完成入侵,这也称为零点击漏洞

它可以通过iOS中的JavaScriptCore Binary (jsc)漏洞执行代码,伪装成iOS系统服务。

iMessage 、FaceTime、Apple Music应用中都有这样的漏洞。

因此,NSO的客户只需要向他们提供目标的电话号码,就能让Pegasus通过网络注入完成攻击;即便有时网络注入不成功,也能在几分钟内完成手动安装。

以这样的方式,NSO Group 10年来赚得盆满钵满。

在全球40多个国家,拥有60多个政府机构客户。

据了解,在2016年他们已经达到了监视10个用户115万美元的报价。

早在2016年《纽约时报》就披露,Pegasus会被用于追踪记者和一些活动人士。

其内部人士透露,虽然NSO Group特意组成了一个道德委员会筛选客户的资格,但是据他们所知NSO还没拒绝过哪位客户。

而且Pegasus一经出售,客户就可以随意使用。

所以真的是让世界更加安全吗?这事还真的不好说。

对于这一次的曝光事件,BBC记者Joe Tidy表示,NSO的声誉可能受损,但是它的生意可未必会受影响。

BBC还表示,之后可能会从被曝名单中披露出更多公众人物的名字。

参考链接:
[1]https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/
[2]https://www.bbc.com/news/technology-57881364
[3]https://indianexpress.com/article/explained/pegasus-whatsapp-spyware-israel-india-7410890/
[4]https://www.washingtonpost.com/world/2021/07/20/heads-of-state-pegasus-spyware/

版权所有,未经授权不得以任何形式转载及使用,违者必究。