8月25日,蘋果公司緊急向其用戶推送了iOS 9.3.5版本更新,並特意提示「建議所有的使用者都安裝」。在正式版iOS 10預計在9月初就會發布之際,這一不合常理的緊急更新引發媒體關注。
據紐約時報報導,蘋果推送更新目的在於緊急修復iOS系統中存在的3個「零日漏洞(Zero-day exploit)」。在未修復之前,攻擊者只需發送一個欺騙性鏈接引誘他人點擊,即可遠程越獄目標手機,並靜默安裝名為「Pegasus」的間諜程式,進而讀取目標手機的短訊、電子郵件和通話記錄,甚至可以錄音、收集密碼和跟蹤手機用戶的行蹤。這些漏洞先前未被蘋果發現,但已存在數年。
安全研究人員指出,「Pegasus」出自以色列公司NSO Group之手,該公司開發的軟件經常被用於針對記者和各國異議人士。事發后,NSO Gro回覆媒體稱:「公司與客戶簽署的協議規定,公司的產品只能以合法的方式使用。具體來說,僅可用於預防和偵查犯罪案件。」
相關資料顯示早在2014年時,NSO Group就被美國私募股權公司Francisco Partners收購。
我們建議所有用戶總是下載最新版本的iOS系統,以保護自己免受潛在網絡攻擊的威脅。
新漏洞的曝光源於阿拉伯聯合酋長國(下稱阿聯酋)著名人權活動家Ahmed Mansoor,8月10日他收到可疑短訊,發送者試圖引誘他點擊短訊中包含的鏈接,聲稱通過該鏈接可以獲取阿聯酋監獄裏犯人被折磨的「秘密」。Mansoor沒有點擊該鏈接,而是將短訊轉發給了加拿大多倫多大學公民實驗室(Citizen Lab)。在公民實驗室協同移動安全公司Lookout檢查代碼後,發現「Pegasus」可以通過3個以前未被公開的iOS系統漏洞操控目標手機,遂立即通知蘋果公司進行緊急修復。
事後公民實驗室發表報告認為,阿聯酋政府可能是針對Mansoor手機發動攻擊的主使者,但並無確鑿證據。目前阿聯酋政府沒有回應媒體的詢問。
此外,公民實驗室的報告中還指出墨西哥政府也有嫌疑,因為負責報道該國政壇高層腐敗醜聞的墨西哥記者Rafael Cabrera也成為該間諜軟件的攻擊對象。墨西哥政府同樣未做出置評。
這是我們見過的專門針對手機的最複雜間諜程式。
華盛頓郵報則指出,過去的研究已經顯示,專制政府會使用類似的間諜軟件監控持不同政見者和記者。而近期美國國家安全局(NSA)黑客工具的泄漏則進一步顯示,政府和NSO Group這樣的公司利用未被公開的漏洞定製黑客工具,而非向相關開發公司報告漏洞進行修補,很可能威脅到所有用戶的個人隱私安全,因為誰也不能保證其他個人或組織不會發現同樣的漏洞加以利用。
蘋果的設備向來以高安全性著稱,該公司甚至聲稱「我們反對美國聯邦調查局(FBI)要求蘋果在 iPhone 設立後門的要求,因為我們相信這是錯的,這將開創一個危險的先例」。但是這次緊急更新凸顯出,即使像蘋果這樣擁有強大技術實力的公司,其系統也存在可被黑客工具開發者利用的潛在漏洞,而這些開發者背後,則是國家政權對網絡監控日益高漲的需求。
聲音
我是當局的定期目標。每當他們到手新的間諜軟件時,似乎都會在我身上嘗試一下。
政府對惡意軟件的使用和漏洞的堆積造成的代價,是由整個社會來承擔的。