臭名昭著的 Pegasus 間諜軟件本週又回到了新聞中,一個安全研究人員團隊強調了一種新的“三重威脅”,該惡意軟件利用該漏洞在整個 2022 年進行有針對性的網絡攻擊。
Pegasus 是一個以色列技術公司 NSO Group 開發的“工業”間諜軟件工具,表面上純粹用於政府的反恐工作。雖然 Pegasus 自 2014 年以來一直存在,但它在兩年前成為頭條新聞,當時 國際特赦組織和多倫多大學的公民實驗室揭露了間諜軟件負責“廣泛、持續和持續的非法監視和侵犯人權行為”,已被用來針對和監視數十名“世界各地的人權捍衛者 (HRD) 和記者”。
Apple 隨後罕見地對 NSO Group 發起了大規模訴訟,稱該公司及其員工是“不道德的 21 世紀僱傭軍,他們創造了高度複雜的網絡監控機制,邀請例行和公然虐待。”它還為 Citizen Lab 和 Amnesty Tech 等組織設立了一個基金,以協助他們進行網絡監控研究和宣傳,最初投入 1000 萬美元,並承諾增加因針對 NSO Group 的訴訟而造成的任何損失。
雖然 Apple 希望起訴 NSO Group,但令人遺憾的是,法院進展緩慢,與此同時,Pegasus 繼續被用於邪惡目的。在 2021 年年中有報導稱 Pegasus 間諜軟件針對美國國務院官員後,事情變得平靜了。然而,“公民實驗室”的一份新報告?顯示 Pegasus 仍然活躍,但在過去一年左右的時間裡一直在雷達下飛行。
零點擊三重威脅
具體而言,Citizen Lab 的研究人員發現了 Pegasus 在整個 2022 年使用的三個新的“零點擊漏洞利用鏈”,以加強針對人權的網絡攻擊維權者、記者和其他世界範圍內的“公民社會目標”。
Pegasus 遠沒有被用於其既定的反恐和打擊人口販運和其他有組織犯罪的目的,反而似乎成為了壓迫政權的工具. Citizen Labs 確定的最新 Pegasus 目標涉及來自 Centro PRODH 的兩名人權捍衛者,Centro PRODH 是墨西哥的一個組織,代表法外處決和強迫失踪等軍事虐待的受害者。
Centro PRODH 成員中的 Pegasus 感染至少可以追溯到 2015 年,因為 Citizen Lab 在其報告中解釋:
“2015 年 9 月發生了一起廣為人知的與此間諜軟件感染案件相關的失踪案件,當時一群 43 名學生在一名教師培訓學院在前往伊瓜拉抗議教師聘用做法後被強行失踪。他們隨後的失踪被稱為“伊瓜拉大規模綁架”,或簡稱為“Ayotzinapa 案”。 2017 年,我們報導了墨西哥法律援助和人權組織 Centro PRODH 的三名成員以及參與 Ayotzinapa 案件的調查人員成為 Pegasus 間諜軟件的目標。在 2016 年確定目標時,Centro PRODH 代表失踪學生的家人。”
然而,隨著 Apple 和 Pegasus 之間貓鼠遊戲的繼續,NSO Group 不得不在發現新漏洞方面更有創意,包括所謂的“零點擊”漏洞,Pegasus 可以自行安裝並開始監視 iPhone,而無需用戶進行任何交互。
Citizen Lab 發現了其中三個漏洞Centro PRODH 員工使用的兩部運行 iOS 15 和 iOS 16 的 iPhone 上的危險漏洞。其中一個屬於 Centro PRODH 主任 Jorge Santiago Aguirre Espinosa,他也被確定為 Pegasus 目標2017 年。另一個屬於 Centro PRODH 的國際協調員 María Luisa Aguilar Rodríguez。據報導,Pegasus 於 2022 年 6 月 22 日活躍在阿吉雷先生的設備上,同一天墨西哥真相委員會舉行儀式啟動對墨西哥軍隊侵犯人權行為的調查。 Rodríguez 女士的手機在第二天被感染,隨後在 2022 年 9 月又感染了另外兩次。
這三個被稱為 LATENTIMAGE、FINDMYPWN 和 PWNYOURHOME 的漏洞都利用了 iOS 15 和iOS 16,特別是 Apple 的“查找”、“信息”和“家庭”功能的底層代碼中存在缺陷。儘管 PWNYOURHOME 可針對 iOS 16.0.3 進行部署,但大多數攻擊都是在運行 iOS 15 的設備上發現的,因為這是當時的最新版本。
值得慶幸的是,Citizen Lab 尚未在運行 iOS 16.1 或更新版本的設備上發現任何此類情況。這表明 Apple 已經修補了這些缺陷,就 PWNYOURHOME 而言,研究人員分享了“取證工件”,幫助 Apple 在 iOS 16.3.1 中支持 HomeKit。
不幸的是,NSO Group 找到可以利用的新漏洞可能只是時間問題。這就是為什麼將你的 iPhone 更新到最新的 iOS 版本總是一個好主意——尤其是當 Apple 的發行說明指出已為“被積極利用”的漏洞打補丁時。
使用 iOS 16 的鎖定模式
Citizen Lab 研究人員還指出,PWNYOURHOME 在啟用了 Apple 新的高安全性鎖定模式的設備上觸發了警告。最初,該漏洞利用程序觸發了未知用戶試圖訪問主頁的通知,表明鎖定模式按設計工作。
儘管該漏洞利用的更高版本似乎找到了阻止通知的方法,但研究人員沒有發現任何證據表明它實際上可以繞過鎖定模式——只是讓警告用戶未授權訪問嘗試的通知靜音。
儘管 Pegasus 具有陰險的性質,但對我們大多數人來說,好消息是它仍然是一種有針對性的攻擊。此外,NSO Group 開發的工具只出售給政府,這就是為什麼它被稱為“國家贊助的間諜軟件”。當然,在監視方面,並非所有政府機構都是合乎道德的。然而,可以肯定地說,除非你從事的工作可能會引起腐敗政權的注意,否則你不太可能遇到 Pegasus。
對於那些“高風險”用戶,這就是 Apple 的鎖定模式的用武之地in. 雖然它對大多數普通人來說涉及太多的可用性妥協,但 Citizen Lab 強烈鼓勵任何認為自己可能有成為 Pegasus 或其他國家贊助的間諜軟件目標風險的人使用它。