iPhone保安漏洞 可遭遙控
疑政府監控異見者 程式來自以色列公司
加拿大電腦保安專家在本月中,從阿聯酋人權律師曼蘇爾(Ahmed Mansoor,圖)收到的可疑短訊中,發現首個可完全遙控一部安裝最新iOS作業系統的iPhone 6間諜軟件。程式來自以色列電腦程式公司,黑客可針對手機內3個嚴重保安漏洞控制手機,懷疑政府用作監控像曼蘇爾一樣的異見人士及記者。蘋果公司周四急忙發布更新。
曼蘇爾為阿聯酋著名人權律師,曾獲頒馬丁.恩納爾斯人權捍衛者獎,受政府嚴密監控。
收不明SMS 附網頁連結
他的iPhone 6在本月10及11日接連收到數個不明電話號碼傳來的SMS手機信息,聲稱打開內附的網頁連結,就可得知阿聯酋監獄虐囚的秘密情報。他未有按指示打開網頁,而是把信息發送往加拿大多倫多大學的公民實驗室(Citizen Lab)研究。
可操控鏡頭收音 「手機變隨身間諜」
公民實驗室周三發表報告指,他們聯同美國三藩市電腦保安公司Lookout調查後發現,短訊連結藏間諜軟件,讓黑客作出零時差攻擊(zero-day attack,指尚未公布的電腦系統新漏洞)攻擊。用家若點擊連結,手機就會被程式強行「越獄」(Jailbreak),黑客就可全面掌控手機所有功能,「手機便變成口袋裏的隨身間諜」。黑客可全面控制手機的鏡頭、收音咪,記錄曼蘇爾的行動,黑客更可截取WhatsApp、Viber對話內容,電郵、WiFi密碼、內容等資料亦成為黑客囊中物。
針對3漏洞攻擊 料國家級黑客所為
該間諜程式由以色列NSO Group所製。該公司專門設計監控軟件,予政府追蹤異見人士之用。他們稱過去從未發現有黑客藉遙距越獄控制目標人物的手機,可能有政府已利用此保安漏洞監控社運分子及傳媒。Lookout的電腦保安部門副主管默里(Mike Murray)亦表示,黑客對一個漏洞作出零時差攻擊已經是大新聞,如今同時對3個漏洞發動此等攻擊,明顯是來自資金充足的國家級黑客所為。
人權律師3度成黑客目標
他們通知蘋果公司,蘋果10日後便發布更新軟件修補漏洞,較平時迅速。有關漏洞經披露後,其他黑客將可能利用漏洞攻擊一般iPhone用家,未有更新作業系統的人尤其高危。
今次已是曼蘇爾第3次成為私人間諜軟件的目標。他2011年曾遭德國及英國FinFisher設計的程式攻擊;2012年亦遭一間意大利設計的監控軟件攻擊,盜取其電郵公開。研究人員認為上兩次攻擊跟阿聯酋政府有關。
(金融時報/BBC)