智能手机如今已经成为私人数据宝库:通讯、行踪、照片、帐户信息等等。而iPhone手机安全漏洞被间谍软件所利用的消息曝光,也为这一发展趋势敲响了警钟。
其实自从三年前斯诺登曝光了美国国家安全局(NSA)的监控丑闻之后,人们就已经知道,所有的通讯渠道都处于监控之下。不过与漏洞无处不在的个人电脑相比,人们以为至少现代的智能手机还是相对安全的,因为厂商提供了严格的安全预防措施。比如苹果公司就是标榜个人数据保护和用户的信任作为其智能手机iPhone的营销口号。然而刚刚被发现的一款间谍软件却具有前所未有的入侵能力,让人们对iPhone安全性能的信任打上了问号。
因为面对被专家们命名“Pegasus”的这一间谍软件,不管是iPhone的指纹辨识系统,还是手机SIM卡上数据库里的安全装置,全都不堪一击。这个软件利用了苹果软件中三个此前不为人所知的漏洞,这三个漏洞分别藏在Safari网页浏览器和iOS系统内核里。
据美联社报道,一位名叫曼苏尔(Ahmed Mansoor)的人权律师披露,自己曾收到带有链接的短信,其中声称点击链接就可以看到阿联酋监狱中虐待囚犯的内幕。而一家名为Citizen Lab的网络监管组织指出,如果iPhone用户点击了这个链接,他的手机就会自动安装上这个间谍软件。该软件利用上述的这三个安全漏洞,就会把苹果手机变成一部远程监控设备,可以窥探使用者的言语行踪。
在经过了十天的开发之后,苹果公司对其运行系统进行了更新,填补了这些漏洞。--这样的速度在这个行业来说的确是很快的。然而,不安的种子已经埋下。因为如今我们整个生活中越来越多的数据都转移到了手机上:私密的通讯联系、照片、银行帐户信息、健康数据等等。
而现代智能手机系统是数以百万计的软件编码汇合而成的一个极为复杂的整体,谁知道那里面还藏有多少安全漏洞呢?还有多少漏洞也在以类似的方式被利用?
信息安全技术公司Lookout对这次曝光的间谍软件进行了深入的研究发现,从三年前苹果发布的iOS7到所有比它更新的版本,全部都可以成为“Pegasus”的攻击对象。这个间谍软件可以监听录制电话通话,可以跟踪使用者的行踪地点,还可以偷窥手机通讯录,阅读电子邮件,查看Facebook用户数据,以及各种社交软件如WhatsApp、Skype以及中国用户最常用的微信上的数据。Lookout公司的研究负责人穆瑞(Mike Murray)表示,如此专业且完善的攻击行动到目前为止还非常少见。
专家猜测,“Pegasus”软件幕后的操纵者可能是来自以色列的NSO集团,它的所有者是一位美国金融投资商。该公司并未透露软件的开发者是谁,仅仅对《纽约时报》(New York Times)和网络媒体“Vice”表态称,这款软件仅仅出售给政府机构,而且不会卖给那些受到出口限制的国家。
其实在斯诺登解密事件之后,或者更早,情报机构利用未知的运行系统漏洞来破解通讯工具,就已经是常用的手段。而“Pegasus”的问世则提供了独一无二的机会,去购买具有这样功能的软件。
与此同时,软件安全漏洞已经成为商业交易的对象,而且可以带来巨额的金钱收入。几个月前,一家公司因为发现了iPhone手机里的一个“零日”漏洞(Zero-Day),就报价100万美元出售这一此前不为苹果公司所知的发现。
原本对于这种交易采取抵制态度的苹果公司,几周前也放下了身段,愿意为发现运行系统安全漏洞者支付最高达5万美元的酬金。
美国情报机构国家安全局(NSA)就在有目的地寻找类似的“零日”漏洞,尽管美国有一个政府机构专门负责定期作出裁决,要不要本着维护公众利益的考虑,将相关的漏洞发现知会运营商。因为专家一再警告,这些漏洞既然可以被情报机构所用,那么也是有可能被犯罪分子发现的。
