安全研究人员周四表示,苹果已经修补了三个高度严重的iOS漏洞,这些漏洞正在被积极利用来感染iPhone,从而使攻击者可以窃取包括Gmail,Facebook和WhatsApp在内的大量应用程序的机密消息。
间谍软件被移动安全提供商Lookout的研究人员称为Pegasus。他们认为它已经在野外流传了很长时间。他们与位于多伦多大学的Citizen Lab的研究人员合作,确定该间谍软件针对的是位于阿拉伯联合酋长国的政治异见人士,并且是由一家专门从事基于计算机的利用的美国公司发行的。根据攻击工具包的价格(约300个许可证,价格为800万美元),研究人员认为,该工具包正在被全球其他iPhone用户积极使用。
“飞马座是我们在任何端点上看到的最复杂的攻击,因为它利用了我们生活中集成移动设备的方式以及仅在移动设备上始终可用的功能的组合-始终保持连接(WiFi,3G / 4G),语音通信,摄像头,电子邮件,消息传递,GPS,密码和联系人列表,” Lookout和Citizen Lab的研究人员在博客文章中写道。“它是模块化的,允许自定义,并使用强大的加密来逃避检测。”
在漏洞利用程序秘密越狱了目标的iPhone之后,飞马立即开始通过其丰富的资源进行拖网捕捞。它会复制通话记录,短信,日历条目和联系人。它能够激活受感染手机的摄像头和麦克风,以监听附近的活动。它还可以跟踪目标的移动并从端到端的加密聊天应用程序窃取消息。
正如Ars报道的那样,Apple已经发布了更新程序,该更新程序修补了三个漏洞,这些漏洞使感染成为可能。尽管此类攻击可能仅针对最高价值的目标,例如《财富》 500强企业高管和持不同政见者,但所有iOS用户都应尽快安装此修复程序。
研究人员称该漏洞为Trident,因为它依赖于三个独立的漏洞,索引为CVE-2016-4654,CVE-2016-4655和CVE-2016-4656。针对阿联酋持不同政见者艾哈迈德·曼索尔(Ahmed Mansoor)的漏洞利用攻击在两周前收到一条短信,该短信承诺提供有关在阿联酋监狱遭受酷刑的被拘留者的秘密信息。Mansoor将这些消息转发给了Citizen Lab研究人员,研究人员确定链接的网页导致了一系列利用漏洞利用的漏洞,这些漏洞可能使他的iPhone越狱并安装了Pegasus间谍软件。
“在这种情况下,该软件是高度可配置的,”周四的博客文章继续说道。“间谍软件的功能取决于用户使用的国家和用户购买的功能集,其中包括从Gmail,Facebook,Skype,WhatsApp,Viber,FaceTime,Calendar,Line,Mail等应用程序访问消息,呼叫,电子邮件,日志等.Ru,WeChat,SS,Tango等。即使更新了设备软件,该工具包似乎仍然存在,并且可以更新自身以轻松取代漏洞利用程序。”
对基础代码的分析表明,该代码可以追溯到2013年,当时iOS 7仍在使用。研究人员认为,除了以曼苏尔为目标外,其他高价值人士也被以从事企业间谍活动为目标。该间谍软件由NSO Group开发,后者是总部位于美国的公司Francisco Partners Management的以色列分支机构。据路透社去年11月发表的一篇文章称,Francisco Partners在2014年以1.2亿美元的价格收购了NSO的多数股权,并正在探索一项可能使该部门估值10亿美元的交易。据路透社报道,国家统计局集团是如此秘密,以至于它定期改名。它的收益约为7500万美元。