安全漏洞曾被用于监控异见人士 苹果推送紧急更新|端传媒

有研究显示,有部分政府在利用未被公开的苹果手机漏洞来定制黑客工具。

2016-08-26

摄:卢翊铭/端传媒

 

8月25日,苹果公司紧急向其用户推送了iOS 9.3.5版本更新,并特意提示“建议所有的使用者都安装”。在正式版iOS 10预计在9月初就会发布之际,这一不合常理的紧急更新引发媒体关注。

据纽约时报报导,苹果推送更新目的在于紧急修复iOS系统中存在的3个“零日漏洞(Zero-day exploit)”。在未修复之前,攻击者只需发送一个欺骗性链接引诱他人点击,即可远程越狱目标手机,并静默安装名为“Pegasus”的间谍程序,进而读取目标手机的短信、电子邮件和通话记录,甚至可以录音、收集密码和跟踪手机用户的行踪。这些漏洞先前未被苹果发现,但已存在数年。

安全研究人员指出,“Pegasus”出自以色列公司NSO Group之手,该公司开发的软件经常被用于针对记者和各国异议人士。事发后,NSO Gro回复媒体称:“公司与客户签署的协议规定,公司的产品只能以合法的方式使用。具体来说,仅可用于预防和侦查犯罪案件。”

相关资料显示早在2014年时,NSO Group就被美国私募股权公司Francisco Partners收购。

我们建议所有用户总是下载最新版本的iOS系统,以保护自己免受潜在网络攻击的威胁。

苹果公司发言人

新漏洞的曝光源于阿拉伯联合酋长国(下称阿联酋)著名人权活动家Ahmed Mansoor,8月10日他收到可疑短信,发送者试图引诱他点击短信中包含的链接,声称通过该链接可以获取阿联酋监狱里犯人被折磨的“秘密”。Mansoor没有点击该链接,而是将短信转发给了加拿大多伦多大学公民实验室(Citizen Lab)。在公民实验室协同移动安全公司Lookout检查代码后,发现“Pegasus”可以通过3个以前未被公开的iOS系统漏洞操控目标手机,遂立即通知苹果公司进行紧急修复。

事后公民实验室发表报告认为,阿联酋政府可能是针对Mansoor手机发动攻击的主使者,但并无确凿证据。目前阿联酋政府没有回应媒体的询问。

此外,公民实验室的报告中还指出墨西哥政府也有嫌疑,因为负责报道该国政坛高层腐败丑闻的墨西哥记者Rafael Cabrera也成为该间谍软件的攻击对象。墨西哥政府同样未做出置评。

这是我们见过的专门针对手机的最复杂间谍程序。

Lookout公司主管安全研究的副总裁Mike Murray

华盛顿邮报则指出,过去的研究已经显示,专制政府会使用类似的间谍软件监控持不同政见者和记者。而近期美国国家安全局(NSA)黑客工具的泄漏则进一步显示,政府和NSO Group这样的公司利用未被公开的漏洞定制黑客工具,而非向相关开发公司报告漏洞进行修补,很可能威胁到所有用户的个人隐私安全,因为谁也不能保证其他个人或组织不会发现同样的漏洞加以利用。

苹果的设备向来以高安全性著称,该公司甚至声称“我们反对美国联邦调查局(FBI)要求苹果在 iPhone 设立后门的要求,因为我们相信这是错的,这将开创一个危险的先例”。但是这次紧急更新凸显出,即使像苹果这样拥有强大技术实力的公司,其系统也存在可被黑客工具开发者利用的潜在漏洞,而这些开发者背后,则是国家政权对网络监控日益高涨的需求。

声音

我是当局的定期目标。每当他们到手新的间谍软件时,似乎都会在我身上尝试一下。

阿联酋人权活动家Ahmed Mansoor

政府对恶意软件的使用和漏洞的堆积造成的代价,是由整个社会来承担的。

美国公民自由联盟(ACLU)技术专家Chris Soghoian

零日漏洞

就信息安全意义而言,零日漏洞是指在开发商知晓并发布相关补丁前就被掌握或者公开的漏洞信息。零日漏洞具有极高的利用价值,对网络安全具有巨大威胁。掌握多少零日漏洞不仅是评价黑客技术水平的一个重要参数,而且一些国家间谍和网军部队,例如美国国家安全局和美国网战司令部也非常重视这些资讯。据路透社报告称,美国政府是零日漏洞黑市的最大买家。(资料来自维基百科)

来源:纽约时报华盛顿邮报the Verge

端传媒

Advertisements
%d 博主赞过: