黑客零點擊入侵 蘋果急更新系統
瞄準iMessage圖像處理漏洞 逾16億部產品受影響
專門研究網絡安全的加拿大組織「公民實驗室」揭發以色列網絡技術公司NSO集團,自今年2月以來利用美國蘋果公司一項軟件安全漏洞,悄悄入侵全球蘋果電子產品,其特別之處在於採用「零點擊」技術,即毋須用戶點擊任何連結就能令其電子產品中毒,以竊取資料和偷拍等, 是首次有確鑿證據證明黑客公司擁有這種技術。 蘋果周一 (13日)發布修復這個問題的安全更新,緊急呼籲用戶立即更新程式,但這個漏洞相信已被NSO廣泛用於入侵電子設備,受影響產品數目超過16.5億部。
公民實驗室(Citizen Lab)是多倫多大學旗下一個學術研究組織,專門調查針對記者和異見人士的網絡攻擊。今年初一名沙特阿拉伯異見者向公民實驗室求助,後者3月起開始調查和挖掘線索,後來發現異見者手機被NSO研發的軍事級間諜軟件飛馬(Pegasus)入侵。公民實驗室研究人員斯科特-雷爾頓(John Scott-Railton)說,當時還不清楚飛馬如何被安裝到手機上,直至上周在檢查手機的備份時,研究人員發現一份攻擊代碼的副本,顯示黑客向目標電子產品傳送出GIF(一種圖像文件格式)文件,但那其實是含有病毒的PDF文件,蘋果產品的iMessage程式誤以為那是圖像而開啟文件,令設備受感染。公民實驗室根據攻擊代碼的命名規則、軟件的行為模式和其中一個漏洞特徵,鎖定幕後黑手就是NSO集團的軟件。
這種襲擊之所以令人憂慮,是因為它屬於「零點擊」(Zero-Click)技術,意味用戶就算有警覺性,沒有點擊連結或打開文件,手機都會自動被感染。斯科特-雷爾頓直言,凡是裝有iMessage的電子設備都有可能被悄悄感染。他又表示,襲擊中所用的軟件「非常罕見,很可能成本高昂,意味它經過大量的開發工作」。《紐約時報》指出,有被入侵風險的蘋果產品超過16.5億部。
除了iPhone的iOS作業系統外,飛馬還可能襲擊蘋果的Mac電腦、平板電腦iPad和智能手表Apple Watch的iMessage。蘋果公司周一已分別為各電子平台推出修補程式。其聲明寫道:「在發現iMessage可被利用的漏洞後,蘋果迅速開發了補丁程式,並在iOS 14.8版本中推出修復,以保護我們的用戶。」蘋果呼籲用戶立即將電子設備的作業系統更新至iOS 14.8、MacOS 11.6和WatchOS 7.6.2。蘋果又在聲明中稱:「描述中的襲擊極其複雜,這種攻擊軟件需要花費數以百萬計美元開發,使用期往往很短,並用於針對特定的個人」,意味「此類攻擊對我們絕大多數用戶來說並不構成威脅」。
NSO集團強調,其客戶必須確保飛馬軟件是用於反恐和反犯罪,但早在今年7月已被揭發用於監控數以萬計人權活躍人士、記者甚至國家元首,被入侵電子產品的資料會被轉送到NSO的客戶,通話被截聽,其鏡頭和咪高峰也會被隨時開啟用作偷拍和偷錄。NSO周一發表的聲明拒絕正面回應事件,只說:「NSO集團將繼續為全球各地的情報和執法機構提供拯救生命的技術,以打擊恐怖和犯罪行為。」
(華爾街日報/衛報/中央社)