(星島日報報道)美國蘋果公司周二舉行新iPhone發布會前夕,加拿大多倫多大學互聯網保安監察組織「公民實驗室」發出警告,指臭名昭著的以色列間諜軟件公司NSO研發出新工具,可做到「零點擊」(zero-click)攻擊。它利用蘋果iMessage的漏洞,只要送出隱形訊息,即使用戶沒有做任何操作(零點擊),所用的iPhone、iPad、Apple Watch,都會被靜悄悄入侵。蘋果周一緊急發布安全更新,修補漏洞。
調查NSO間諜軟件多年的「公民實驗室」(Citizen Lab)報告指出,一名沙特維權分子的iPhone懷疑受黑客入侵,安全研究人員在今年三月份開始挖掘線索,在手機備份中發現惡意程式和軟件,相信他的手機早在今年二月已經「中招」。手機中出現了一堆以GIF為檔案名稱的文件,但它們實際上不是這種格式。公民實驗室在檢查這些文件時發現了攻擊代碼,根據命名規則和軟件的行為模式,非常可能是與NSO有關。
黑客利用iMessage的一個未被發現的安全漏洞(即零日漏洞,還沒有修補程式的安全漏洞)發動「零點擊」攻擊,只要向目標發送一條隱形的訊息即可入侵手機。這項漏洞影響到所有蘋果各種平台包括iOS、OSX與watchOS。這次攻擊之所以特別令人擔憂,是因為其「零點擊」特性,目標人物即使沒有操作,不點擊任何東西,在毫不知情下,手機已遭到入侵。
「公民實驗室」通知蘋果相關發現,蘋果已在周一立即發布更新,堵塞這個漏洞。蘋果指出,這次攻擊極其複雜,相關攻擊軟件需要花費數以百萬計美元開發,而使用期往往很短,並用於針對特定的個人,這意味着「此類攻擊對我們絕大多數用戶來說並不構成威脅」。發言人拒絕評論事件是否與NSO有關。
路透社報道,這個漏洞存在於iMessage簡訊會自動生成圖片的機制。iMessage一直是NSO及其他「網絡軍火商」下手的目標,蘋果因此變更了iMessage架構,不過尚未能完全保護系統。網絡安全公司Lookout資深經理施萊斯說:「許多應用程式會自動幫連結建立預覽或快取,以提升使用體驗。飛馬(Pegasus)即利用這種功能悄悄感染裝置。」由NSO開發的間諜軟件「飛馬」在二〇一六年八月首次曝光。這款軟件可攻破蘋果和安卓產品的保安系統,NSO曾聲稱其客戶包括多國政府,但拒絕透露客戶和追蹤目標的詳情。通訊程式WhatsApp在今年七月才表示,多國政商界人物、記者、維權人士等,都有可能是「飛馬」攻擊目標。目前已知「飛馬」可以偷偷開啟手機相機或麥克風,並收集手機資料。
NSO Group發表聲明,沒有直接回應「零點擊」攻擊,但表示:「NSO將繼續向世界各地的情報機關和執法部門供應挽救生命的工具,打擊恐怖主義和罪案。」
雖然蘋果投入巨資鞏固iPhone在私隱保護和安全方面的良好聲譽,但今年在這方面還是承受了不小的壓力。本月較早前,蘋果暫停推出之前開發的用於檢測兒童色情內容的系統,有批評者稱這可能會削弱iPhone的私隱保護。
諮詢機構Luta Security行政總裁穆蘇里斯表示,蘋果今年還不得不修復數量異常之多的iPhone漏洞,其中許多漏洞已經被網絡攻擊者利用。穆蘇里斯說:「零點擊感染非常罕見,且特別危險。」她還表示:「不過我更關心今年有多少新的、未修補的iOS安全漏洞被利用。」
