Craig Timberg和Drew Harwell在《华盛顿邮报》发表文章,阐明了飞马间谍软件的工作原理、谁最容易受到攻击,以及如果保护自己免受黑客攻击等常见的关于间谍软件的问题。
飞马计划(Pegasus Project)是由《华盛顿邮报》和其他10个国家的16家新闻机构,共同展开的一项调查,由设在巴黎的非营利性新闻机构“禁忌故事”(Forbidden Stories)进行协调,并由国际特赦组织(Amnesty International)提供咨询。这两家机构获得了一份超过5万个电话号码的名单,其中包括以色列间谍软件公司NSO 集团客户的监控目标,这两个组织与记者分享了这份名单。
在过去的几个月里,记者们审查并分析了这份名单,试图了解这些电话号码所有者的身份,并核实他们的手机是否被植入了NSO的飞马(Pegasus)间谍软件。
调查将1000多名政府官员、记者、商人和人权活动人士与电话号码联系了起来,并获得了名单中67部手机的数据。随后,国际特赦组织的安全实验室对这些数据进行了取证分析。其中37部手机显示了飞马试图入侵或成功入侵的证据。
进一步的分析表明,许多入侵或企图入侵事件是在电话号码被输入名单后不久发生的,有些发生在几秒钟内,表明这份名单与随后的监视工作之间存在联系。
你是否容易受到这种间谍软件的攻击?你可以采取什么措施来保证你的手机安全?在这里,我们给出了一些答案。
什么是“间谍软件”,谁在使用它?
间谍软件是恶意软件的总称,旨在从别人的电脑、手机或其他设备上收集信息。间谍软件可以是相对简单的,利用大家都知道的安全弱点,侵入防卫不严的设备。但有些间谍软件非常复杂,依靠未修补的软件缺陷,可以窥探具有先进安全措施的最新智能手机。
最复杂的间谍软件通常由执法或情报机构部署,而且有一个强大的私人市场,向有能力支付的国家提供这些工具,包括美国在内。
长期以来,人们一直怀疑恐怖组织和复杂的犯罪团伙也会使用间谍软件。微软和多伦多大学公民实验室的网络安全研究人员在本月表示,另一家以色列公司Candiru的间谍软件通过伪装成“黑人的命也是命”活动或是健康团体的假网站来感染活动人士、政治家和其他受害者的电脑和手机。
间谍软件可以收集什么?
设备上的几乎所有东西都容易受到复杂的间谍软件的攻击。许多人熟悉传统的窃听技术,它允许实时监控电话,间谍软件也可以做到这一点,甚至能做得更多。
它可以收集电子邮件、社交媒体帖子、通话记录,甚至加密的聊天应用程序(如WhatsApp或Signal)上的信息。
间谍软件可以确定用户的位置,这个人是静止还是移动的,以及在往什么方向移动。它可以收集联系人、用户名、密码、笔记和文件,包括照片、视频和声音记录。
最先进的间谍软件可以激活麦克风和摄像头,而不会点亮摄像头或录音提示灯。
基本上,只要是用户可以在他们的设备上做的事情,高级间谍软件的操作者也可以。一些间谍软件甚至可以在用户不同意或不知道的情况下向设备发送文件。
为什么加密不能阻止这种情况?
“端到端加密”可以保护设备之间的数据传输。它有助于阻止“中间人”攻击,即防止黑客在发送方和接收方之间拦截信息,因为信息被特定的加密密钥锁定了。
2013年,在国家安全局告密者爱德华·斯诺登爆料后,这种加密技术在商业服务中被广泛采用,这加大了政府机构通过监测互联网流量进行大规模监控的难度。但它对“端点”攻击无法起到保护作用,这种攻击针对的是通信的任何一端。一旦加密信息落在预定设备上,系统就会运行一个程序来解码信息,使其变成可读信息,当解码完成后,设备上的间谍软件也就可以读取它了。
谁是NSO?
NSO集团是一家位于以色列的私营公司,是间谍软件的领先制造商。这家公司的标志性产品——飞马软件专门用于入侵苹果手机和安卓设备。
NSO集团成立于2010年,在40个国家拥有60个政府客户。根据投资者服务公司穆迪的报告,这家公司在保加利亚和塞浦路斯设有办事处,有750名员工,去年的收入超过2.4亿美元。它的主要股东是总部设在伦敦的私人股权公司Novalpina Capital。
谁是NSO的客户?
NSO集团以保密协议为由不愿透露。公民实验室已经在以下45个国家发现了疑似飞马软件的感染案例:
阿尔及利亚、巴林、孟加拉国、巴西、加拿大、埃及、法国、希腊、印度、伊拉克、以色列、象牙海岸、约旦、哈萨克斯坦、肯尼亚、科威特、吉尔吉斯斯坦、拉脱维亚、黎巴嫩、利比亚、墨西哥、摩洛哥、荷兰、阿曼、巴基斯坦、巴勒斯坦领土、波兰、卡塔尔、卢旺达、沙特阿拉伯、新加坡、南非、瑞士、塔吉克斯坦、泰国、多哥、突尼斯、土耳其、阿拉伯联合酋长国、乌干达、英国、美国、乌兹别克斯坦、也门和赞比亚。
然而,出现被感染的手机并不一定意味着这个国家的政府就是NSO的客户。
NSO长期以来一直表示,飞马软件不会用于锁定美国的手机,它只能用来对付“犯罪嫌疑人和恐怖分子”。但研究团队发现,它也被用来监视政治人物、记者和人权工作者,飞马计划的调查结果证实了这一点。
如何发现手机被间谍软件感染了?
现代间谍软件的目的是侵入系统,同时在表面看起来好像没有什么变化,所以被黑的手机往往要需要经过仔细的检查,才能显示出它们被感染的证据。
国际特赦组织组织的安全实验室设计了一个测试,通过扫描手机数据,寻找潜在的飞马病毒感染痕迹,组织联系了名单上的号码,询问人们是否同意进行分析,有67人同意了,其中,23部手机的数据显示有成功感染的证据,14部手机有黑客试图入侵的痕迹。
对于剩下的30部手机,没有测试结果,有可能是因为手机已经丢失或更换过,于是组织试图对保存了前一部手机数据的备份文件进行测试。其中15项测试的数据来自安卓手机,所有手机都没有显示被成功感染的证据。然而,与苹果手机不同的是,安卓手机不会记录国际特赦组织侦查工作所需的各种信息。有三部安卓手机显示被间谍软件盯上的迹象,比如与飞马软件相关的短信。
我可以知道我的设备是否被黑了吗?
可能无法知道。恶意软件的设计是为了隐蔽地工作并掩盖踪迹。所以你最好的防御措施可能是预防感染。
我的设备容易受到攻击吗?
几乎每个人的智能手机都很容易受到攻击,尽管大多数普通智能手机用户不太可能成为攻击的目标。除了犯罪嫌疑人和恐怖分子,最有可能成为监控目标的人包括记者、人权工作者、政治家、外交官、政府官员、商业领袖以及知名人士的亲属和同事。
使用多种安卓操作系统并采用先进安全措施设计的手机(非常昂贵)可能可以抵御间谍软件的攻击,但没有办法确定。
有什么法律可以保护我吗?
在世界大部分地区,几乎没有针对被间谍软件攻击的法律保护。NSO说,飞马不能用于美国境内的号码,因为美国是以色列最重要的盟友。
美国对间谍软件有一些法律限制,包括1986年颁布的联邦《计算机欺诈和滥用法》,禁止“未经授权访问”计算机或电话,但模糊的语言意味着它在法庭上的应用往往不明确。一些州已经通过了网络安全和隐私法,如加利福尼亚州的《计算机数据访问和欺诈综合法》,这项法案禁止电子篡改或干扰。WhatsApp在目前针对NSO的诉讼中引用了这两部法律。
我可以做些什么来使自己更安全吗?
一些网络安全的基础知识可以使人们在一定程度上更安全一些。保持你的设备和软件是最新的版本,最好是在你的设置中激活“自动更新”。超过五年的设备,尤其是当它们运行的是过时的操作系统时,就特别容易受到攻击。
为你使用的每个设备、网站和应用程序设置一个独特的、难以猜测的密码,避免使用你的电话号码、出生日期或你的宠物名字等容易猜到的因素做密码。像LastPass或1Password这样的密码管理器可以使密码设置变得更容易。
你还应该在任何地方都打开“双重身份验证”。这些网站不仅会要求你输入密码,还会要求你输入验证码,这个密码可以发送到你的手机上,也可以通过一个单独的认证器应用程序来访问。
避免点击你不认识的人发来的链接或附件。只要有可能,就激活“清空信息”或类似的设置,这样通信在设定的时间后就会自动删除。
还有什么措施可以保护我的隐私?
最有能力打击间谍软件的实体可能是设备和软件制造商,如苹果和谷歌。多年来,他们一直在改进智能手机操作系统的安全性,但还不足以完全挫败飞马这样的恶意软件。
巨型云计算公司也可以采取行动,防止服务器被黑客利用。微软和亚马逊网络服务都表示,当他们得知自己的系统被用来传输恶意软件时,他们已经采取了制止措施。