iPhone再次面临安全风险。
只要发送钓鱼链接,无论点击与否,你的信息都可能被窃取,甚至麦克风和摄像头都可以被控制!
此消息一出,立即登上微博热搜榜首。
苹果官方表示:该漏洞目前无法修复,但问题并不严重。
而这一切都源于间谍软件——Pegasus。
难道是另一个黑客组织在捣乱?
事实并非如此。它的“主谋”实际上是一家以色列正规公司,——NSO Group。
10年来,他们依靠销售间谍软件来监控隐私,生意蒸蒸日上。他们的客户包括各国的军事组织、执法部门和情报机构。
但最近他们却遭遇了苦难。
因为17家国际媒体揭露NSO正在利用手机漏洞秘密监控各国政治人物、记者、律师等。
这也是苹果表示该漏洞问题不大的主要原因。
由于这种间谍软件攻击非常复杂,耗资数百万美元,通常只针对特定人群,普通人受到攻击的可能性很低。
比如这一次,法国总统马克龙、伊拉克总统、南非总统等13位国家元首首当其冲。
据报道,目前全球有超过50,000 个潜在受监控设备。
涉及阿塞拜疆、巴林、匈牙利、印度、哈萨克斯坦、摩洛哥等34个国家。
仅在墨西哥,就有大约15,000 部手机受到监控。
超过600名政客可能受到监视
Pegasus最初是以色列NSO集团开发的军用级间谍软件,用于监视和追踪犯罪分子和恐怖分子。
他们提出了“促进全球安全与稳定”的口号。
但《华盛顿邮报》、《卫报》、《泰晤士报》等17家国际媒体联合调查显示,事实可能并非如此。
他们公开了约5万个电话号码的监控名单,其中包括34个国家(地区)的600多名政府官员和政界人士的电话号码。
调查机构使用清单中涉及的67部设备进行核查后发现,其中23部手机已被成功入侵,14部有被入侵的迹象。
此外,他们还发现这份监控名单涉及来自约20个国家的记者及其亲友。死于神秘暗杀的沙特阿拉伯记者卡舒吉的未婚妻和同事都出现在这份名单上。
7月19日以来,国际各大媒体纷纷报道此事,在社会上引起极大轰动。
不过,NSO集团完全否认上述所有指控。
他们在一份声明中强调,Pegasus仅出售给国家军队、执法和情报机构,并表示Pegasus与卡舒吉谋杀案没有任何关系。
他还表示,这份名单并非来自他们的数据库,其首席执行官表示,他们没有可以窃取这些数据的服务器。
与此同时,传闻为NSO客户的印度政府、匈牙利政府和摩洛哥政府均表示与NSO没有任何关系。
然而,显然没有人相信这一回应。
苹果官方表示,他们将不遗余力地保护所有用户,并继续为他们的设备和数据添加新的保护。
Facebook强烈呼吁苹果公司合作打击间谍软件。
亚马逊还宣布关闭与NSO Group 相关的网络基础设施和账户。
飞马座是什么?
话说回来,Pegasus是如何闯入这么多手机的呢?
首先要知道的是,几乎所有设备都容易受到它的攻击。
不仅iOS系统,Android也存在风险。
它可以监控用户的通话、消息、录音、视频、位置,甚至知道你见过谁。
最初,它利用钓鱼链接入侵手机。
通过发送大量带有恶意链接的垃圾短信,用户只要点击就会被感染。
但现在已经升级,即使用户什么都不点击也能完成入侵,也就是所谓的零点击漏洞。
它可以通过iOS中的JavaScriptCore Binary (jsc)漏洞执行代码,并将自身伪装成iOS系统服务。
iMessage、FaceTime 和Apple Music 应用程序中都存在此类漏洞。
因此,NSO客户只需向他们提供目标的电话号码,Pegasus就可以通过网络注入完成攻击;即使有时网络注入不成功,也可以在几分钟内手动安装。
就这样,NSO集团在这10年里赚得盆满钵满。
我们在全球40多个国家拥有60多个政府机构客户。
据了解,2016年他们就监控10个用户达成了115万美元的报价。
早在2016年,《纽约时报》就披露Pegasus将被用来追踪记者和一些活动人士。
据内部人士透露,虽然NSO集团专门成立了道德委员会来筛选客户的资质,但据他们所知,NSO并没有拒绝任何客户。
一旦Pegasus 售出,顾客就可以随意使用。
那么它真的能让世界变得更安全吗?这实在是很难说。
对于此次曝光,BBC记者Joe Tidy表示,NSO的声誉可能会受损,但其业务可能不会受到影响。
BBC还表示,稍后可能会透露曝光名单中更多公众人物的名字。
