8月26日消息,據(jù)華盛頓郵報報道,許多人都以為自己的iPhone是絕對安全的,但最新研究顯示,蘋果移動操作系統(tǒng)iOS中多年來始終存在三種此前未知的“零日漏洞”,實(shí)際上蘋果用戶始終處于危險之中。
加拿大多倫多大學(xué)蒙克全球事務(wù)學(xué)院下屬的公民實(shí)驗(yàn)室與美國加州舊金山移動安全公司Lookout發(fā)布最新報告顯示,有一種間諜軟件能夠利用iOS系統(tǒng)中多年存在的三種“零日漏洞”,通過誘使iPhone用戶點(diǎn)擊文本信息中的鏈接,幫助接管該用戶的智能手機(jī)。
Lookout公司主管安全研究的副總裁邁克·默里(Mike Murray)說:“這是我們見過的專門針對手機(jī)的最復(fù)雜的間諜軟件。”研究人員發(fā)現(xiàn),這款間諜軟件與以色列公司NSO Group有關(guān),它已經(jīng)于2014年被美國私人股本公司Francisco Partners收購,其開發(fā)的間諜軟件在很多時候都被用于針對記者和活動家。
蘋果已經(jīng)于周四發(fā)布了補(bǔ)丁,并發(fā)表聲明稱:“我們推薦所有用戶下載最新版本的iOS系統(tǒng),以便在潛在安全漏洞中保護(hù)好自己。”但是這款間諜軟件突出了這樣一個事實(shí):即使擁有強(qiáng)大安全聲譽(yù)的科技公司,依然難與黑客工具泛濫的強(qiáng)大市場競爭,因?yàn)檫@些工具賦予了政府強(qiáng)大的數(shù)字監(jiān)控能力。
針對蘋果iOS系統(tǒng)的間諜軟件首先在阿聯(lián)酋民主活動家艾哈邁德·曼蘇爾(Ahmed Mansoor)的iPhone 6上發(fā)現(xiàn),他收到2條文本信息,承諾將透露阿聯(lián)酋監(jiān)獄受虐囚犯的“秘密”。曼蘇爾立即產(chǎn)生懷疑,他稱自己經(jīng)常成為政府使用惡意軟件針對的目標(biāo)。每次他們得到新的間諜軟件,都會在他身上進(jìn)行嘗試。
為此,曼蘇爾沒有點(diǎn)擊信息中的鏈接,而是將其轉(zhuǎn)發(fā)給公民實(shí)驗(yàn)室的研究人員。在與移動安全公司Lookout的安全專家努力下,他們證實(shí)了曼蘇爾的擔(dān)憂:如果他點(diǎn)擊了鏈接,襲擊者的確可以接管他的手機(jī)。
公民實(shí)驗(yàn)室認(rèn)為,阿聯(lián)酋政府可能是針對曼蘇爾手機(jī)發(fā)動襲擊的幕后力量,但無法提供證據(jù)。阿聯(lián)酋還未就此作出回應(yīng)。但是NSO Group曾在宣傳冊中介紹針對曼蘇爾的間諜軟件,它被稱為Pegasus,允許黑客遠(yuǎn)程隱身追蹤目標(biāo)設(shè)備,并從中獲取完整的數(shù)據(jù)。
此外,公民實(shí)驗(yàn)室發(fā)現(xiàn),負(fù)責(zé)報道腐敗丑聞的墨西哥記者也成為間諜軟件的針對目標(biāo),他也收到含有特定鏈接的文本信息,這個鏈接似乎與墨西哥某個著名新聞媒體有關(guān)。公民實(shí)驗(yàn)室還無法確定此案的具體攻擊者,但他們認(rèn)為證據(jù)標(biāo)明,墨西哥政府是攻擊背后的支持者。墨西哥政府也為做出置評。
公民實(shí)驗(yàn)室和Lookout發(fā)出警告后,蘋果立即著手修復(fù)漏洞。曼蘇爾在8月10日和11日遭到攻擊,蘋果在接到通知后10天內(nèi)即可給出解決方案。但是來自間諜軟件的細(xì)節(jié)顯示,它已經(jīng)被利用了很多年。普通用戶面臨的危險十分有限,因?yàn)镹SO Group稱其間諜軟件只賣給政府機(jī)構(gòu)。
NSO Group發(fā)言人在聲明中稱,他們不清楚曼蘇爾或墨西哥記者的事情,本身也沒有運(yùn)行任何惡意軟件系統(tǒng)。該公司已經(jīng)與客戶簽署協(xié)議,要求他們的產(chǎn)品只能被以合法方式使用。具體來說,這些產(chǎn)品只能被用來預(yù)防和調(diào)查犯罪。
可是過去的研究顯示,有些政府機(jī)構(gòu)利用這種間諜軟件監(jiān)視反對者和記者。正如最近曝光的美國國安局文件顯示,那些依賴沒有安全補(bǔ)丁的漏洞運(yùn)行的惡意軟件,如果漏洞曝光,可能危及公眾安全。政府和類似NSO Group等開發(fā)黑客工具而非向開發(fā)人員報告漏洞的公司,也可能威脅所有用戶的安全,因?yàn)樗麄儫o法確保其他人是否會發(fā)現(xiàn)同樣的問題。
蘋果設(shè)備向來以安全著稱,甚至為杰米圣貝納迪諾槍手的iPhone與FBI對薄公堂。但是FBI最終在沒有蘋果公司的幫助下解密了這部手機(jī),據(jù)說他們支付100多萬美元費(fèi)用向職業(yè)黑客求助。蘋果始終是安全消費(fèi)產(chǎn)品領(lǐng)域的領(lǐng)先者,這部分是因?yàn)樵摴纠卫慰刂浦鴌Phone平臺。但這也吸引了更多黑客想要侵入蘋果產(chǎn)品中。