iPhone又双叒被曝存在安全隐患了。
只要发送钓鱼链接,无论你点不点击,你的信息都可以被窃取,甚至连麦克风、摄像头都能被控制!
此消息一出,直接登顶微博热搜第一。
苹果官方表示:目前这个漏洞无法被修复,但问题不大。
而这一切都源于一个间谍软件——Pegasus。
难道又是什么黑客组织兴风作浪?
还真不是,它的“幕后主使”居然是一家以色列的正规公司——NSO Group。
10年来他们靠着售卖间谍软件监控隐私,生意做的是风生水起,客户涉及各国军方组织、执法、情报部门。
不过最近他们遭殃了。
因为17家国际媒体揭露,NSO正在利用手机漏洞秘密监控各国政要人士、记者、律师等。
这也是为什么苹果会说漏洞问题不大的主要原因。
因为这种间谍软件的攻击非常复杂、成本也高达数百万美元,一般都只是针对特定人士,普通人受到攻击的可能性很低。
比如这次,首当其冲的就是法国总统马克龙、伊拉克总统和南非总统在内的13位国家首脑。
据报道,目前全球潜在被监控的设备已经超过5万台。
涉及阿塞拜疆、巴林、匈牙利、印度、哈萨克斯坦、摩洛哥等34个国家。
仅在墨西哥,就有1.5万台左右手机被监控。
600多位政界人士或被监控
原本,Pegasus是由以色列NSO Group开发的一款军用级间谍软件,被用于监控、追踪罪犯和恐怖分子。
他们打出了“促进全球安全和稳定”的口号。
但是《华盛顿邮报》、《卫报》、《泰晤士报》在内的17家国际媒体联合调查后表明,事实可能并非如此。
他们披露出一份约有5万个电话号码的监控名单,这其中包括34个国家(地区)的600多名政府官员和政界人士的电话号码。
调查机构用名单中涉及的67台设备做验证后,发现其中23部电话被成功入侵、14部有入侵迹象。
此外他们还发现,这份监控名单中涉及了大约20个国家的新闻记者及其亲友,此前死于离奇暗杀的沙特阿拉伯记者卡舒吉的未婚妻及同事,都出现在了这份名单上。
从7月19日开始,各大国际媒体纷纷报道此事,在社会上引起了极大轰动。
但对于以上的所有指控,NSO Group全盘否认。
它们在一份声明中强调,Pegasus只售卖给国家军方、执法、情报部门,并表示Pegasus和卡舒吉被杀案件没有关系。
还表示这份名单也不是来自于他们的数据库,其CEO称他们没有服务器可以窃取到这些数据。
与此同时,传言为NSO客户的印度政府、匈牙利政府和摩洛哥政府都表示和NSO没有任何关系。
不过这样的回应显然没有什么人买账。
苹果官方表示会不遗余力地保护所有用户,不断为他们的设备和数据,增添新的保护。
Facebook则大力呼吁苹果合作,一起对抗间谍软件。
亚马逊也宣布关闭与NSO Group相关的网络基础设施及其账户。
Pegasus是什么?
话说回来,Pegasus到底是怎样攻破这么多手机的呢?
首先要知道的是,几乎所有设备都容易被它攻击。
不只是iOS系统,安卓也同样存在风险。
它可以监控用户的通话、信息、录音、录像、定位,甚至连你见过什么人它都可以知道。
起初,它是以钓鱼链接的方式来入侵手机。
通过发送大量垃圾短信,在其中附带一条恶意链接,只要用户点击就会中招。
但是现在它已经升级了,即使用户什么都不点也能完成入侵,这也称为零点击漏洞。
它可以通过iOS中的JavaScriptCore Binary (jsc)漏洞执行代码,伪装成iOS系统服务。
iMessage 、FaceTime、Apple Music应用中都有这样的漏洞。
因此,NSO的客户只需要向他们提供目标的电话号码,就能让Pegasus通过网络注入完成攻击;即便有时网络注入不成功,也能在几分钟内完成手动安装。
以这样的方式,NSO Group 10年来赚得盆满钵满。
在全球40多个国家,拥有60多个政府机构客户。
据了解,在2016年他们已经达到了监视10个用户115万美元的报价。
早在2016年《纽约时报》就披露,Pegasus会被用于追踪记者和一些活动人士。
其内部人士透露,虽然NSO Group特意组成了一个道德委员会筛选客户的资格,但是据他们所知NSO还没拒绝过哪位客户。
而且Pegasus一经出售,客户就可以随意使用。
所以真的是让世界更加安全吗?这事还真的不好说。
对于这一次的曝光事件,BBC记者Joe Tidy表示,NSO的声誉可能受损,但是它的生意可未必会受影响。
BBC还表示,之后可能会从被曝名单中披露出更多公众人物的名字。