2016年8月29日星期一

iOS超级大漏洞的来龙去脉

  在 8 月 10 日的早晨,来自阿联酋的 46 岁人权活动家 Ahmed Mansoor 在自己的 iPhone 上,看到了一条来自陌生电话号码的奇怪短信。这条短信的内容很唬人,写着“阿联酋国家监狱里的虐囚新消息”,还配上了一条链接。在之前的斗争中,阿联酋政府就使用 FinFisher 和 Hacking Team 等公司的商业间谍软件对 Ahmed Mansoor 实施过黑客行动。

  因此,Ahmed Mansoor 对这条短信产生了怀疑,没有点击链接,而是把短信转发给了在多伦多大学蒙克全球事务学院公民实验室(Citizen Lab)工作的 Bill Marczak.

  结果显示,这条短信的确有问题,其附带的链接指向的是一个成熟的恶意软件。这个恶意软件利用了苹果 iOS 操作系统三个不为人知的漏洞,从而可以让黑客完全控制 Ahmed Mansoor 的 iPhone.这就是公民实验室和移动安全公司 Lookout 于本周四发布的联合报告的结论。

  这是首次有人公开披露这类攻击。在这之前,还从未有人见过同时利用三个未知漏洞(又称零日漏洞)来试图控制 iPhone.用于此次攻击的工具和技术差不多算得上是给 iPhone 进行远程越狱,价值更是高达百万美元。在这些研究人员们警告苹果后,苹果很快在周四发布了更新来修复这些漏洞。

  问题是:谁策划了这次攻击,他们用了哪些技术来实现?

  研究人员们发现,提供此次攻击用到的间谍软件和零日漏洞的是一家不知名的以色列监控公司 NSO Group.在 Lookout 负责研究的副总裁 Mike Murray 看来,NSO Group “基本上就是网络攻击军火商”。

  公民实验室和 Lookout 的研究人员们对这一前所未见的恶意软件感到震惊。

  Mike Murray 表示:“之前从未有人发现过这种恶意软件,基本上只需在 iPhone 上点击一下链接就能越狱。它是我们从业以来见过的最成熟的网络间谍软件。”

  自 2010 年创办以来,NSO 就逐渐树立了为政府提供监控手机的成熟恶意软件的名声。但在此之前,对 NSO 工具的使用从未出现在任何政府文件上。NSO 宣称,其产品极其隐蔽,就像“幽灵”一样。NSO 本身也像“幽灵”一样,没有官网,也几乎不接受采访或对报道置评。但还是有一些 NSO 的信息泄露了出来,包括其在 2014 年获得了一家美国风险投资公司 1.2 亿美元的投资,以及估值达到了 10 亿美元。

  NSO 的恶意软件 Pegasus 旨在悄无声息地感染 iPhone,并能窃取、窃听被感染 iPhone 中的所有数据和通讯。

  Mike Murray 解释道:“Pegasus 会窃取 iPhone 中的所有信息,窃听所有通话,窃取所有短信、电子邮件、联系人。它还会给 iPhone 上的所有通讯机制添加后门。它能窃取 Gmail、Facebook、Skype、Whatsapp、Viber、微信、 Telegram 等应用中的所有信息。”

  在 Mike Murray 和 Lookout 员工的帮助下,公民实验室的 Bill Marczak 和 John Scott-Railton 先在一台测试 iPhone 上点击了链接,让它感染 Pegasus,以研究 Pegasus 的具体用途。

  此次针对 Ahmed Mansoor 的攻击,以及公民实验室追踪到的另一次攻击显示,著名的 Hacking Team 和 FinFisher 并不是个例,还有其他公司加入到了向政府提供黑客服务这一日益壮大的市场中来。

  NSO 是如何被抓住现形的

  在今年 5 月,公民实验室发现了一个代号 Stealth Falcon 的成熟黑客团体。虽然无法证实,但他们怀疑 Stealth Falcon 和阿联酋政府有关联,主要针对阿联酋国内外的异见人士。

  通过对 Stealth Falcon 的研究,公民实验室理出了这一团体的大部分基础设施,包括用来窃取数据的服务器和域名。但公民实验室无法找到这些黑客所使用的恶意软件样本。从 8 月 10 日 Ahmed Mansoor 给 Bill Marczak 转发短信的那一刻起,这一切都改变了。

  在 Bill Marczak 和 John Scott-Railton 研究了 Pegasus 后,他们追踪到了与 Pegasus 通讯的服务器及 IP 地址,并匹配到 Stealth Falcon 的基础设施中也包含这一服务器和 IP 地址。随后,他们发现一位 NSO 员工注册的域名也指向同一 IP 地址。

  更重要的是,Pegasus 的开发者在 Pegasus 中留下了一个暴露了很多信息的字符串“PegasusProtocol”(Pegasus 协议),这明显指出了这一 NSO 间谍软件的代号。研究人员们还发现了更多和 NSO 及其客户基础设施有关联的域名,其中一些显然是被设计用来作为钓鱼网站,对象是红十字会等人权组织和新闻媒体组织的工作人员。

  Pegasus 的发现让研究人员们第一次能够真正了解 NSO 出品的恶意软件的功能。自 2010 年创办以来,NSO 已然成为业内传奇,而公众对其基本一无所知。NSO 的高管们极少接受媒体采访,有关 NSO 的报道中也充斥着模糊的描述和未经证实的谣言。

  NSO 联合创始人 Omri Lavie 在 2013 年对《防务新闻》表示:“我们完全就是幽灵。”

  《华尔街日报》在 2014 年的一篇简短报道中称,墨西哥政府已经采购了 NSO 的产品,甚至连美国中央情报局都表达了购买意向。报道还称,NSO 的间谍软件行销全球。

  现在 NSO 的间谍软件遭到了曝光,使用的零日漏洞也得到了修补,它应该再也不能宣称自己是“幽灵”了吧,虽然 NSO 可能还有其他零日漏洞和工具在手上。这也是研究人员们不指望自己的报告和苹果的补丁能阻止 NSO 很长时间的原因。

  Mike Murray 表示道:“单是给这些漏洞打补丁不可能让 NSO 破产。”

  更严重的是,Pegasus 的设定可以一路往下感染到 iOS 7,也就是说 NSO 很可能在 iPhone 5 时就能入侵 iPhone 了。

  NSO 的发言人 Zamir Dahbash 在一份声明中表示:“NSO 的使命是为获得授权的政府提供帮助他们打击恐怖活动和犯罪的技术,以便让世界变得更美好。”

  “NSO 只对获得授权的政府机构销售,完全符合严格的出口管制法律和法规。另外,NSO 并不负责运营售出的系统。我们是一家严格意义上的技术公司。购买我们产品的客户必须保证合法地使用我们的工具。我们还在合同中专门列出,我们的产品只能用于预防和调查犯罪。”

  苹果的反应

  公民实验室和 Lookout 的研究人员们在发现这些零日漏洞(代号 Trident)后,立刻联系了苹果公司。苹果公司用了 10 天时间来开发和发布补丁。现在这一补丁已经加入到 iOS 9.3.5 的更新包中,所有 iPhone 用户都应该尽快下载和安装这一更新。

  苹果发言人在一份声明中表示:“我们在知道这些漏洞后立刻进行了修复,并在 iOS 9.3.5 更新中加入了这些补丁。”但这位发言人拒绝透露更多细节。

  网络安全公司 Trail Of Bits 首席执行官 Dan Guido 拥有丰富的 iOS 安全经验,他表示这些极少出现在公众视野中的攻击并不出人意料。不过他表示,尽管现在又发现了三个零日漏洞,但 iPhone 还是要比安卓手机安全得多。

  Guido 说道:“和其他厂商相比,苹果极大地提高了入侵苹果设备的成本。但这一事件也显示了需要有更好地针对 iOS 的入侵检测手段。iOS 仍然是市面上最安全的消费设备。问题是,只有当你拥有怀疑精神以及在公民实验室有朋友,才有可能知道自己的 iPhone 中是否安装了恶意软件。”

  其他受害者

  研究人员们还没能找到其他 Pegasus 间谍软件的样本。但通过搜索类似链接和与此次攻击以及 Stealth Falcon 有关的域名,他们发现了一条疑似针对肯尼亚不知名受害者的推文,还有一次针对墨西哥调查记者 Rafael Cabrera 的攻击。

  Rafael Cabrera 去年第一次受到了 NSO 恶意软件的针对性攻击,在今年 5 月又受到了第二次攻击。在第二次攻击中,黑客们试图引诱他点击一系列消息中的链接,如提供政府腐败线索、话费消费 500 美元的警告短信乃至号称是他妻子出轨的视频链接。Rafael Cabrera 表示,他没有点击上述任何链接。

  他表示道:“很明显,他们想要我点击链接,有点丧心病狂的感觉。”

  Rafael Cabrera 并不想猜测谁是幕后黑手,政府或其他人都有可能。墨西哥政府可能是 NSO 的客户,但不清楚是否真的有警察或情报部门使用 NSO 的恶意软件。墨西哥也是 Hacking Team 的最大客户,一些墨西哥政府部门被指控使用这些间谍软件来针对记者和异见人士,而非犯罪分子。

  最终,Rafael Cabrera 和 Ahmed Mansoor 的 iPhone 都没有被黑,因为他们识破了黑客们的伎俩。当然,也可以说他们幸运。因为此前有过被政府黑客入侵的经历,他们比一般人要更警觉。

  但公民实验室的 Bill Marczak 表示,他俩的遭遇可能预示着未来的风险。如果政府想要黑客工具而且愿意支付高价钱,那么 Hacking Team 和 NSO 这些公司仍然会继续提供它们。公民实验室在过去还记录了数起政府利用间谍软件对异见人士、记者和人权工作者发起的黑客攻击,工具和 NSO 制造的类似。尽管公民实验室公开了这些攻击并发出警告,但还是不断有类似的新攻击出现。有时候攻击是由同一政府发起的,甚至针对的是同一目标。

  他表示道:“根本没有什么激励,能让 NSO 这些公司不向阿联酋这种惯犯出售黑客工具。”

  这也预示着间谍软件行业一个新巨头的崛起,在 FinFisher 和 Hacking Team 遭到严重黑客攻击后,NSO 有着很大的增长空间。

  而如果 Ahmed Mansoor 在 8 月 10 日点击了那个链接,这些事情可能永远也不会被人发现。