iPhone因安全漏洞上热搜，苹果：暂时无法修复，法国总统也中招

明敏 发自 凹非寺 量子位 报道 | 公众号 QbitAI

iPhone又双叒被曝存在安全隐患了。

只要发送钓鱼链接，无论你点不点击，你的信息都可以被窃取，甚至连麦克风、摄像头都能被控制！

此消息一出，直接登顶微博热搜第一。

苹果官方表示：目前这个漏洞无法被修复，但问题不大。

而这一切都源于一个间谍软件——Pegasus。

难道又是什么黑客组织兴风作浪？

还真不是，它的“幕后主使”居然是一家以色列的正规公司——NSO Group。

10年来他们靠着售卖间谍软件监控隐私，生意做的是风生水起，客户涉及各国军方组织、执法、情报部门。

不过最近他们遭殃了。

因为17家国际媒体揭露，NSO正在利用手机漏洞秘密监控各国政要人士、记者、律师等。

这也是为什么苹果会说漏洞问题不大的主要原因。

因为这种间谍软件的攻击非常复杂、成本也高达数百万美元，一般都只是针对特定人士，普通人受到攻击的可能性很低。

比如这次，首当其冲的就是法国总统马克龙、伊拉克总统和南非总统在内的13位国家首脑。

据报道，目前全球潜在被监控的设备已经超过5万台。

涉及阿塞拜疆、巴林、匈牙利、印度、哈萨克斯坦、摩洛哥等34个国家。

仅在墨西哥，就有1.5万台左右手机被监控。

600多位政界人士或被监控

原本，Pegasus是由以色列NSO Group开发的一款军用级间谍软件，被用于监控、追踪罪犯和恐怖分子。

他们打出了“促进全球安全和稳定”的口号。

但是《华盛顿邮报》、《卫报》、《泰晤士报》在内的17家国际媒体联合调查后表明，事实可能并非如此。

他们披露出一份约有5万个电话号码的监控名单，这其中包括34个国家（地区）的600多名政府官员和政界人士的电话号码。

调查机构用名单中涉及的67台设备做验证后，发现其中23部电话被成功入侵、14部有入侵迹象。

此外他们还发现，这份监控名单中涉及了大约20个国家的新闻记者及其亲友，此前死于离奇暗杀的沙特阿拉伯记者卡舒吉的未婚妻及同事，都出现在了这份名单上。

从7月19日开始，各大国际媒体纷纷报道此事，在社会上引起了极大轰动。

但对于以上的所有指控，NSO Group全盘否认。

它们在一份声明中强调，Pegasus只售卖给国家军方、执法、情报部门，并表示Pegasus和卡舒吉被杀案件没有关系。

还表示这份名单也不是来自于他们的数据库，其CEO称他们没有服务器可以窃取到这些数据。

与此同时，传言为NSO客户的印度政府、匈牙利政府和摩洛哥政府都表示和NSO没有任何关系。

不过这样的回应显然没有什么人买账。

苹果官方表示会不遗余力地保护所有用户，不断为他们的设备和数据，增添新的保护。

Facebook则大力呼吁苹果合作，一起对抗间谍软件。

亚马逊也宣布关闭与NSO Group相关的网络基础设施及其账户。

Pegasus是什么？

话说回来，Pegasus到底是怎样攻破这么多手机的呢？

首先要知道的是，几乎所有设备都容易被它攻击。

不只是iOS系统，安卓也同样存在风险。

它可以监控用户的通话、信息、录音、录像、定位，甚至连你见过什么人它都可以知道。

起初，它是以钓鱼链接的方式来入侵手机。

通过发送大量垃圾短信，在其中附带一条恶意链接，只要用户点击就会中招。

但是现在它已经升级了，即使用户什么都不点也能完成入侵，这也称为零点击漏洞。

它可以通过iOS中的JavaScriptCore Binary (jsc)漏洞执行代码，伪装成iOS系统服务。

iMessage 、FaceTime、Apple Music应用中都有这样的漏洞。

因此，NSO的客户只需要向他们提供目标的电话号码，就能让Pegasus通过网络注入完成攻击；即便有时网络注入不成功，也能在几分钟内完成手动安装。

以这样的方式，NSO Group 10年来赚得盆满钵满。

在全球40多个国家，拥有60多个政府机构客户。

据了解，在2016年他们已经达到了监视10个用户115万美元的报价。

早在2016年《纽约时报》就披露，Pegasus会被用于追踪记者和一些活动人士。

其内部人士透露，虽然NSO Group特意组成了一个道德委员会筛选客户的资格，但是据他们所知NSO还没拒绝过哪位客户。

而且Pegasus一经出售，客户就可以随意使用。

所以真的是让世界更加安全吗？这事还真的不好说。

对于这一次的曝光事件，BBC记者Joe Tidy表示，NSO的声誉可能受损，但是它的生意可未必会受影响。

BBC还表示，之后可能会从被曝名单中披露出更多公众人物的名字。

参考链接： [1]https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/ [2]https://www.bbc.com/news/technology-57881364 [3]https://indianexpress.com/article/explained/pegasus-whatsapp-spyware-israel-india-7410890/ [4]https://www.washingtonpost.com/world/2021/07/20/heads-of-state-pegasus-spyware/

— 完 —

本文系网易新闻•网易号特色内容激励计划签约账号【量子位】原创内容，未经账号授权，禁止随意转载。

免费报名 | 快速入门NLP、让你的文字会说话！

7.28晚8点，英伟达专家将在线讲解“语音合成技术”的工作流程与原理、深度学习模型在语音合成中的应用，并代码实战演示如何快速实现自然语言生成。扫码-关注，根据提示即可报名~

点这里👇关注我，记得标星哦～

一键三连「分享」、「点赞」和「在看」

科技前沿进展日日相见~