iPhone又雙叒被曝存在安全隱患了。
只要發送釣魚鏈接,無論你點不點擊,你的資訊都可以被竊取,甚至連麥克風、攝像頭都能被控制!
此消息一出,直接登頂微博熱搜第一。
蘋果官方表示:目前這個漏洞無法被修復,但問題不大,
而這一切都源于一個間諜軟體——Pegasus,
難道又是什么黑客組織興風作浪?
還真不是,它的“幕后主使”居然是一家以色列的正規公司——NSO Group,
10年來他們靠著售賣間諜軟體監控隱私,生意做的是風生水起,客戶涉及各國軍方組織、執法、情報部門,
不過最近他們遭殃了,
因為17家國際媒體揭露,NSO正在利用行動電話漏洞秘密監控各國政要人士、記者、律師等。
這也是為什么蘋果會說漏洞問題不大的主要原因,
因為這種間諜軟體的攻擊非常復雜、成本也高達數百萬美元,一般都只是針對特定人士,普通人受到攻擊的可能性很低。
比如這次,首當其沖的就是法國總統馬克龍、伊拉克總統和南非總統在內的13位國家首腦,
據報道,目前全球潛在被監控的設備已經超過5萬臺。
涉及阿塞拜疆、巴林、匈牙利、印度、哈薩克斯坦、摩洛哥等34個國家,
僅在墨西哥,就有1.5萬臺左右行動電話被監控。
600多位政界人士或被監控
原本,Pegasus是由以色列NSO Group開發的一款軍用級間諜軟體,被用于監控、追蹤罪犯和恐怖分子。
他們打出了“促進全球安全和穩定”的口號,
但是《華盛頓郵報》、《衛報》、《泰晤士報》在內的17家國際媒體聯合調查后表明,事實可能并非如此。
他們披露出一份約有5萬個電話號碼的監控名單,這其中包括34個國家(地區)的600多名政府官員和政界人士的電話號碼。
調查機構用名單中涉及的67臺設備做驗證后,發現其中23部電話被成功入侵、14部有入侵跡象,
此外他們還發現,這份監控名單中涉及了大約20個國家的新聞記者及其親友,此前死于離奇暗殺的沙特阿拉伯記者卡舒吉的未婚妻及同事,都出現在了這份名單上。
從7月19日開始,各大國際媒體紛紛報道此事,在社會上引起了極大轟動,
但對于以上的所有指控,NSO Group全盤否認,
它們在一份聲明中強調,Pegasus只售賣給國家軍方、執法、情報部門,并表示Pegasus和卡舒吉被殺案件沒有關系,
還表示這份名單也不是來自于他們的資料庫,其CEO稱他們沒有服務器可以竊取到這些數據。
與此同時,傳言為NSO客戶的印度政府、匈牙利政府和摩洛哥政府都表示和NSO沒有任何關系,
不過這樣的回應顯然沒有什么人買賬。
蘋果官方表示會不遺余力地保護所有用戶,不斷為他們的設備和數據,增添新的保護。
Facebook則大力呼吁蘋果合作,一起對抗間諜軟體。
亞馬遜也宣布關閉與NSO Group相關的網路基礎設施及其賬戶。
Pegasus是什么?
話說回來,Pegasus到底是怎樣攻破這么多行動電話的呢?
首先要知道的是,幾乎所有設備都容易被它攻擊。
不只是iOS系統,安卓也同樣存在風險。
它可以監控用戶的通話、資訊、錄音、錄像、定位,甚至連你見過什么人它都可以知道,
起初,它是以釣魚鏈接的方式來入侵行動電話。
通過發送大量垃圾短信,在其中附帶一條惡意鏈接,只要用戶點擊就會中招,
但是現在它已經升級了,即使用戶什么都不點也能完成入侵,這也稱為零點擊漏洞。
它可以通過iOS中的JavaScriptCore Binary (jsc)漏洞執行代碼,偽裝成iOS系統服務,
iMessage 、FaceTime、Apple Music應用中都有這樣的漏洞,
因此,NSO的客戶只需要向他們提供目標的電話號碼,就能讓Pegasus通過網路注入完成攻擊;即便有時網路注入不成功,也能在幾分鐘內完成手動安裝。
以這樣的方式,NSO Group 10年來賺得盆滿缽滿。
在全球40多個國家,擁有60多個政府機構客戶。
據了解,在2016年他們已經達到了監視10個用戶115萬美元的報價,
早在2016年《紐約時報》就披露,Pegasus會被用于追蹤記者和一些活動人士。
其內部人士透露,雖然NSO Group特意組成了一個道德委員會篩選客戶的資格,但是據他們所知NSO還沒拒絕過哪位客戶。
而且Pegasus一經出售,客戶就可以隨意使用,
所以真的是讓世界更加安全嗎?這事還真的不好說。
對于這一次的曝光事件,BBC記者Joe Tidy表示,NSO的聲譽可能受損,但是它的生意可未必會受影響,
BBC還表示,之后可能會從被曝名單中披露出更多公眾人物的名字,
