端聞

蘋果推送緊急更新修補 iOS 嚴重安全漏洞,漏洞曾被用於監控異見人士


iOS出現重大安全漏洞,建議所有用戶升級。
有研究顯示,有部分政府在利用未被公開的漏洞來定制黑客工具。攝:盧翊銘/端傳媒

8月25日,蘋果公司緊急向其用戶推送了iOS 9.3.5版本更新,並特意提示「建議所有的使用者都安裝」。在正式版iOS 10預計在9月初就會發布之際,這一不合常理的緊急更新引發媒體關注。

據紐約時報報導,蘋果推送更新目的在於緊急修復iOS系統中存在的3個「零日漏洞(Zero-day exploit)」。在未修復之前,攻擊者只需發送一個欺騙性鏈接引誘他人點擊,即可遠程越獄目標手機,並靜默安裝名為「Pegasus」的間諜程式,進而讀取目標手機的短訊、電子郵件和通話記錄,甚至可以錄音、收集密碼和跟蹤手機用戶的行蹤。這些漏洞先前未被蘋果發現,但已存在數年。

安全研究人員指出,「Pegasus」出自以色列公司NSO Group之手,該公司開發的軟件經常被用於針對記者和各國異議人士。事發后,NSO Gro回覆媒體稱:「公司與客戶簽署的協議規定,公司的產品只能以合法的方式使用。具體來說,僅可用於預防和偵查犯罪案件。」

相關資料顯示早在2014年時,NSO Group就被美國私募股權公司Francisco Partners收購。

我們建議所有用戶總是下載最新版本的iOS系統,以保護自己免受潛在網絡攻擊的威脅。

蘋果公司發言人

新漏洞的曝光源於阿拉伯聯合酋長國(下稱阿聯酋)著名人權活動家Ahmed Mansoor,8月10日他收到可疑短訊,發送者試圖引誘他點擊短訊中包含的鏈接,聲稱通過該鏈接可以獲取阿聯酋監獄裏犯人被折磨的「秘密」。Mansoor沒有點擊該鏈接,而是將短訊轉發給了加拿大多倫多大學公民實驗室(Citizen Lab)。在公民實驗室協同移動安全公司Lookout檢查代碼後,發現「Pegasus」可以通過3個以前未被公開的iOS系統漏洞操控目標手機,遂立即通知蘋果公司進行緊急修復。

事後公民實驗室發表報告認為,阿聯酋政府可能是針對Mansoor手機發動攻擊的主使者,但並無確鑿證據。目前阿聯酋政府沒有回應媒體的詢問。

此外,公民實驗室的報告中還指出墨西哥政府也有嫌疑,因為負責報道該國政壇高層腐敗醜聞的墨西哥記者Rafael Cabrera也成為該間諜軟件的攻擊對象。墨西哥政府同樣未做出置評。

這是我們見過的專門針對手機的最複雜間諜程式。

Lookout公司主管安全研究的副總裁Mike Murray

華盛頓郵報則指出,過去的研究已經顯示,專制政府會使用類似的間諜軟件監控持不同政見者和記者。而近期美國國家安全局(NSA)黑客工具的泄漏則進一步顯示,政府和NSO Group這樣的公司利用未被公開的漏洞定製黑客工具,而非向相關開發公司報告漏洞進行修補,很可能威脅到所有用戶的個人隱私安全,因為誰也不能保證其他個人或組織不會發現同樣的漏洞加以利用。

蘋果的設備向來以高安全性著稱,該公司甚至聲稱「我們反對美國聯邦調查局(FBI)要求蘋果在 iPhone 設立後門的要求,因為我們相信這是錯的,這將開創一個危險的先例」。但是這次緊急更新凸顯出,即使像蘋果這樣擁有強大技術實力的公司,其系統也存在可被黑客工具開發者利用的潛在漏洞,而這些開發者背後,則是國家政權對網絡監控日益高漲的需求。

聲音

我是當局的定期目標。每當他們到手新的間諜軟件時,似乎都會在我身上嘗試一下。

阿聯酋人權活動家Ahmed Mansoor

政府對惡意軟件的使用和漏洞的堆積造成的代價,是由整個社會來承擔的。

美國公民自由聯盟(ACLU)技術專家Chris Soghoian

零日漏洞

就信息安全意義而言,零日漏洞是指在開發商知曉併發布相關補丁前就被掌握或者公開的漏洞信息。零日漏洞具有極高的利用價值,對網絡安全具有巨大威脅。掌握多少零日漏洞不僅是評價黑客技術水平的一個重要參數,而且一些國家間諜和網軍部隊,例如美國國家安全局和美國網戰司令部也非常重視這些資訊。據路透社報告稱,美國政府是零日漏洞黑市的最大買家。(資料來自維基百科)

來源:紐約時報華盛頓郵報the Verge

2017 年 7 月,端傳媒啟動了對深度內容付費的會員機制。在此之前刊發的深度原創報導,都會免費開放,歡迎轉發,也期待你付費支持我們

如果你喜歡,就分享給更多人吧