苹果公司在收到警告称,一个此前未知的漏洞允许以色列NSO集团远程秘密地将其飞马间谍软件注入iphone和ipad后,发布了紧急软件更新。
iOS代码中的漏洞被称为“零日漏洞”(zero-day),它似乎允许包括沙特阿拉伯、卢旺达和墨西哥在内的NSO客户将代码隐藏在通过iMessage发送的图像中,从而使军用级飞马(Pegasus)间谍软件能够接管手机的功能。
Pegasus能够秘密读取存储在手机上的加密信息,远程打开摄像头和麦克风,并持续跟踪手机的位置。从墨西哥到东非,Pegasus一直与侵犯人权行为有关,导致这家以色列公司被美国商务部列入黑名单。
该公司在周四晚间的一份简短声明中表示,该补丁还解决了一个影响苹果钱包(Apple Wallet)的漏洞。苹果钱包是人们存储支付卡的地方。该公司在向数十亿部手机推送更新时,没有提供更多细节。
2024年预算:“你可能有点胖在一次性支出方面'听[43:12
这一最新补丁是苹果近年来发布的少数补丁之一,它延续了美国领先科技公司与间谍软件制造商(其中许多位于以色列)之间的猫捉老鼠游戏,这些制造商将智能手机中的未知漏洞武武化,然后将其商业化,这样它们的客户(往往是政府机构)就可以在不被发现的情况下监视数千个目标。
国家统计局表示:“我们无法回应任何不包括任何支持研究的指控。”
尽管NSO坚称其产品仅用于监控潜在的恐怖分子和打击有组织犯罪,但多伦多大学(University of Toronto)的公民实验室(Citizen Lab)发现了这一漏洞。该实验室表示,它在一家设有国际办事处的“公民社会”组织驻华盛顿雇员的手机上发现了这一漏洞。
此前,公民实验室在人权记录不佳的国家追踪到数百名持不同政见者、记者、律师和反对派领导人的手机。公民实验室表示,如果面临政府监控风险的人们在他们的iphone上启用锁定模式,目前的漏洞就会被阻止。锁定模式严重限制了一些功能,包括消息附件和来自未知号码的FaceTime来电。
该机构高级研究员约翰·斯科特-雷尔顿(John Scott-Railton)表示:“苹果在寻找(漏洞)和修补的速度上变得更加积极,在锁定模式方面也做得非常出色。”“这对唯利是图的间谍软件生态系统和NSO等公司施加了巨大压力。”
美国政府之所以将Pegasus列入黑名单,是因为在美国驻乌干达大使馆雇员的手机上发现了Pegasus,导致NSO等间谍软件被列为美国政府的主要反情报和国家安全威胁。
最新漏洞的发现突显出,尽管美国政府对NSO的制裁引发了严重的财务问题,但它仍在继续在一些复杂的操作系统中发现罕见的漏洞。
该公司几乎全部由以色列军队信号情报精锐部队的退伍军人组成,其总部位于伦敦的私人股本支持者Novalpina Capital对该公司的估值一度达到10亿美元。
但NSO在2019年设计了一次黑客攻击,利用无处不在的WhatsApp消息平台的一个漏洞注入间谍软件,导致WhatsApp的所有者meta在加州法院提起诉讼,苹果、亚马逊和其他科技巨头也加入了诉讼。
在这场仍在继续的诉讼中,NSO辩称,它的行为应该免受法律审查,因为它的软件是由主权国家使用的,而且该公司不知道被攻击的目标是谁。
最近几周,包括《每日邮报》(Daily Mail)驻英国政治记者在内的至少另外三人收到了苹果的通知,称他们的手机遭到了“国家行为体”的攻击。目前尚不清楚这些攻击是来自NSO的系统还是其竞争对手的系统。
通知中写道:“这些攻击者很可能因为你的身份或你的职业而针对你个人。”-版权所有金融时报有限公司2023
