苹果发布紧急安全更新,修复间谍软件漏洞

9月13日,苹果发布了iPhone、iPad、Apple Watch和Mac的安全更新,关闭了此前被报道的关键漏洞,该漏洞将允许以色列NSO公司的高侵入性间谍软件不需点击就感染用户的苹果设备。

今年早些时候,多伦多大学互联网监督机构“公民实验室”的研究人员发现,一名巴林人权活动家的iPhone被NSO的高级间谍软件入侵,自这以来,苹果安全团队一直在夜以继日地开发修复方案。

苹果发布紧急安全更新,修复间谍软件漏洞

这款名为“Pegasus”的间谍软件使用了一种新方法,在无形中就能感染苹果设备。同时,因为它允许政府、雇佣兵和罪犯秘密侵入用户设备,所以这款号称“零点击远程攻击”的间谍软件也被称作是监视的圣杯。

通过零点击感染法,Pegasus可以打开用户的摄像头和麦克风,记录信息、短信、电子邮件、通话信息,哪怕是经过加密处理的信息或者使用“Signal”等电话应用程序播出的通话信息,它同样可以获取,并将这些信息发送给世界各国NSO政府客户。

“这个间谍软件可以执行iPhone用户在他们的设备上所能执行的一切甚至更多的操作,”公民实验室的高级研究员约翰·斯科特-雷尔顿说。

本周一,苹果安全工程和架构主管伊万·克里斯蒂克赞扬了公民实验室的发现,并敦促用户通过安装iOS14.8、MacOS11.6和WatchOS7.6.2来规避风险。

克里斯蒂克表示:“像上述这样的攻击是十分复杂的,需要花费数百万美元进行开发,但时效较短,通常仅仅针对特定人群。”苹果表示,计划在今年晚些时候发布的iOS15软件更新中增加间谍软件屏障。

不过,针对这一点,NSO公司尚未作出回应。

长期以来,NSO一直备受争议。虽然该公司表示,它只向符合人权标准的政府出售其间谍软件,并明确要求客户使用其间谍软件来跟踪恐怖分子或犯罪分子。但在过去的六年里,它已经出现在沙特阿拉伯、阿拉伯联合酋长国和墨西哥等国家的人权家、异见人士、律师、医生、营养学家,甚至儿童的移动通讯工具上。

今年7月,NSO成为了媒体关注的焦点。国际特赦组织、致力于言论自由的“禁忌故事”组织以及媒体组成的联盟获得了一份包含5万个电话号码的名单,其中包括一些记者、政府领导人、异见人士和人权活动家,他们都被视为NSO客户监视的目标。

但该联盟并未透露它是如何获得这份名单的,也不清楚该名单是否正确,或者这些人是否真的是NSO间谍软件的目标。

名单中包括阿扎姆·艾哈迈德,他曾担任《纽约时报》墨西哥分社社长,广泛报道有关拉丁美洲的腐败、暴力和监视问题,其中就包括NSO公司;还有《纽约时报》黎巴嫩贝鲁特分社社长本·哈伯德,他调查了沙特阿拉伯的权利滥用和腐败问题,甚至在最近撰写出版了一本沙特王储穆罕默德·本·萨尔曼的传记。

此外,该名单还涉及到14个国家元首,包括法国总统伊曼纽尔·马克龙,南非总统西里尔·拉马福萨,埃及总理,巴基斯坦总理伊姆兰汗等,以及最近被爆出的摩洛哥总理阿斯曼和欧洲理事会主席查尔斯·米歇尔。

不过,NSO公司的联合创始人沙莱夫·胡利奥否认了该榜单的准确性,他告诉《纽约时报》,“这就像打开电话薄,随机选择5万个号码,并强行从中得出一些结论。”

多年来,间谍软件行业一直处于灰色地带。间谍软件的售卖通常被锁定在保密协议中,更是常常被纳入分级项目,却仅仅接受有限的监督。

NSO的客户先前通过短信的方式诱骗受害者来点击链接以达到安装间谍软件的目的,这些链接使得公民实验室等组织的记者和研究人员调查间谍软件变成可能。但NSO新的零点击远程攻击使记者和网络安全研究人员发现间谍软件变得更加困难。

“商业间谍软件行业正变得越来越黑暗,”公民实验室的研究员马克扎克说。这位感染了间谍软件的沙特人权活动家首次同他取得联系是在3月,但是直到上周,他才在这位活动家的手机上发现感染证据,与其他Pegasus目标设备上相同的数字碎屑。

公民实验室表示,信息泄露的规模和范围尚不清楚。但马克扎克认为,按照他今年3月份在沙特人权活动家的iPhone上检测到Pegasus的时间来算,可以肯定地说,该间谍软件至少已经从苹果设备上窃取了6个月的数据。

公民实验室将该零点击漏洞称为“Forcedentry”,这是研究人员发现的最复杂的漏洞之一。2019年,研究人员就在1400名WhatsApp用户的设备上发现了类似于NSO零点击的漏洞。

去年,公民实验室发现了一条数字痕迹,表明NSO可能通过一个零点击漏洞来获取苹果的iMessages消息,但当时研究人员并未发现完整的漏洞。

作为研究人员第一次成功在设备上发现的完整的零点击漏洞,当Forcedentry被公开时,网络犯罪分子通常会试图在用户打补丁之前利用脆弱的手机系统,因此,打补丁的时机就显得至关重要。

基于此,斯科特-雷尔顿建议苹果用户立即进行软件更新。

原创文章,作者:chinaapp,如若转载,请注明出处:https://www.chinaapp.org/jiandieruanjian.html