《华盛顿邮报》在7月20日发布了关于飞马间谍软件入侵苹果手机的报道,根据国际特赦组织的报告,它调查的67部手机中有37部有感染飞马的痕迹,而其中23部是苹果手机。这个结果显示苹果手机中确实存在着一些能够被黑客利用的漏洞,然而苹果公司素来的神秘作风却使外部调查人员难以帮助其解决这些问题。
上个月,在摩洛哥被监禁的政治活动家的法国妻子克劳德·曼金的iPhone11上传来的短信没有任何声音。没有产生任何图像。也没有提供任何警告,因为一条来自她不认识的人的iMessage将恶意软件直接发到了她的手机上,并通过了苹果的安全系统。
根据国际特赦组织的安全实验室对她的设备进行的系统性检查,一旦进入手机,由以色列软件公司NSO集团制作并授权给其一个政府客户的间谍软件就开始工作。它发现,在去年10月至今年6月期间,她的手机被NSO的标志性监控工具飞马(Pegasus)多次入侵,当时她在法国。
该检查无法揭示被该软件收集到的内容。但其潜力是巨大的:根据安全研究人员和NSO的营销材料,飞马可以收集电子邮件、通话记录、社交媒体帖子、用户密码、联系人名单、图片、视频、声音记录和浏览历史。该间谍软件可以激活摄像头或麦克风,以捕捉新的图像和录音。它可以监听电话和语音邮件。它可以收集用户的位置记录,也可以确定该用户现在在哪里,以及表明此人是否静止的数据,而如果此人在移动,正去往哪个方向的信息。
所有这些都可以在用户不接触手机的情况下发生,用户也会不知道她收过一个来自不熟悉的人的神秘信息。在曼金的案例中,软件是来自一个名为“linakeller2203”的Gmail用户。
这些被监控行业称为“零点击”的攻击,甚至可以在最新一代的苹果手机上发挥作用,而在过去的几年里,苹果公司一直试图关上未经授权监控的大门,并在营销活动中宣称它比竞争对手提供更好的隐私和安全。
曼金的号码在本报和其他16个组织审查的包含50多个国家的五万多个电话号码的名单上。总部设在巴黎的非营利性新闻机构禁忌故事(Forbidden Stories)和国际特赦组织获得了这些号码,并与本报及合作伙伴分享,以确定这些号码属于谁,并说服他们允许对其手机中的数据进行取证。
多年来,曼金一直在开展国际运动,为她的丈夫活动家纳马·阿斯法里(Naama Asfari)争取自由。纳马·阿斯法里是撒哈拉民族的一员,也是西撒哈拉独立的倡导者,他在2010年入狱,据称遭到摩洛哥警察的酷刑,引起了国际社会的强烈不满和联合国的谴责。
曼金在7月初从巴黎郊区的家中进行的一次视频采访中说:“当我在摩洛哥时,我知道警察到处跟着我,我从未想象过在法国也会有这种情况。”
她尤其没料到,监视会是通过她以为会使自己免受间谍活动影响的苹果产品。后来的检查表明,在她接受关于iPhone 11被黑采访的当周,她借来的第二部智能手机:一台iPhone 6s,也被感染了飞马。
近年来,研究人员已经记录了数十次苹果手机感染飞马病毒的事件,这对苹果公司声称自己比主要竞争对手安卓享有更卓越安全性的说法构成了挑战。
本报及合作伙伴进行了长达数月的调查,发现了更多的证据来推进这一争论。国际特赦组织的安全实验室检查了67部在禁忌故事获取的名单上的智能手机,发现37部手机有飞马感染或试图感染的证据。其中,34部是苹果手机,而23部有成功感染飞马的迹象,11部则有试图感染的迹象。
国际特赦组织的调查人员说,在被检查的15部安卓手机中,只有3部存在试图被黑的证据,但这也可能是因为安卓手机的日志不够全面,无法存储得出结论性结果所需的信息。
不过,飞马被成功植入苹果手机的次数,凸显了即使是其最新的机型也拥有漏洞。被黑客攻击的手机包括一部装有苹果最新软件更新的iPhone 12。
在周日发表的另一份评估报告中,多伦多大学的公民实验室认同了国际特赦组织的方法。公民实验室还指出,它先前的研究曾在一部iPhone 12 Pro Max和两部iPhone SE2上发现了飞马感染,它们都运行着去年首次发布的14.0或更高版本的iOS操作系统。
飞马的工作方式
目标:有人向智能手机发送所谓的陷阱链接,劝说受害者点击并激活,甚至在没有任何输入的情况下激活自己,这正是最复杂的“零点击”入侵法。
感染:NSO的营销材料显示,间谍软件能捕获并复制手机的最基本功能,从摄像头和麦克风进行记录,并收集位置数据、通话记录和联系人。
追踪:植入物将这些信息秘密地报告给一个特工,该特工可以利用这些信息绘制出受害者生活的敏感细节。
苹果公司安全工程和架构负责人伊万·克里斯蒂奇(Ivan Krstić)为苹果的安全工作进行了辩护。
他在一份声明中说:“苹果公司明确谴责针对记者、人权活动家和其他寻求让世界变得更好的人的网络攻击。十多年来,苹果公司在安全创新方面一直处于行业领先地位,因此,安全研究人员认为iPhone是市场上最安全、最可靠的消费者移动设备。报告里所述的攻击是高度复杂的,需要花费数百万美元来开发,但往往保质期很短,并被用来针对特定的个人。虽然这意味着它们对我们绝大多数的用户来说不是一个威胁,但我们将继续不懈努力,保护我们所有的客户,而且我们正在不断为他们的设备和数据增加新的保护措施。”
2016年,苹果公司与美国联邦调查局(FBI)进行了高调法律斗争,就该公司是否可以被迫解锁前一年加州圣贝纳迪诺(San Bernardino)大规模枪击案中的一名袭击者使用的苹果手机而争执,这为其保护用户隐私的声誉增色不少。当找到一家澳大利亚网络安全公司Azimuth Security后,联邦调查局最终退出了这场法律冲突,因为该公司可以在没有苹果的帮助下解锁iPhone 5c。
外部研究人员赞扬了苹果公司的立场,以及在每一代新苹果手机中继续改进其技术。该公司去年悄悄推出了BlastDoor,该功能旨在防止通过iMessages传递的恶意软件感染苹果手机,使飞马式的攻击更加困难。
调查的结论也可能会引发一场辩论,即科技公司是否已经做了足够的工作来保护其客户免受不必要的入侵。智能手机的脆弱性,以及世界各地的记者、外交官、人权活动家和商人,以及犯罪分子和恐怖分子对它们的广泛使用,也催生了一个强大的产业,可以为那些愿意付费的人提供商业化的黑客工具。
例如,NSO去年的收入为2.4亿美元,还有许多其他公司也提供类似的间谍软件。
周日,NSO的首席执行官沙勒夫·胡里奥(Shalev Hulio)告诉本报,他对调查报告中提到的他公司的软件的被用于记者、人权活动家和公职人员的手机上感到不安,尽管他对本报及合作新闻机构报道中的其他指控提出异议。他承诺进行调查,并表示:“每一个关于滥用系统的指控都让我感到担忧。它违反了我们给予客户的信任。”
在应对潜在的入侵方面,苹果也并不是唯一一个。飞马的另一个主要目标是谷歌的安卓操作系统,该系统为三星、LG等其他制造商的智能手机提供动力。
谷歌发言人凯琳·特里川(Kaylin Trychon)说,谷歌有一个威胁分析团队,跟踪NSO集团和其他威胁行为者,该公司每月向用户发出4000多份关于攻击者企图渗透的警告,其中包括政府支持的攻击者。
她说,不设置帮助研究人员确定安卓设备是否被攻击的日志也是一个安全决定。
她说:“虽然我们理解持久性日志对调查用途更有帮助,比如国际特赦组织的研究人员所描述的那些,但它们也会对攻击者有帮助。我们不断地平衡这些不同的需求。”
倡导者们说,由于无法防止智能手机被黑客攻击,这对几十个国家的民主构成了威胁,因为它破坏了新闻收集、政治活动和反对侵犯人权的运动。大多数国家对间谍软件行业或其工具的使用方式很少或缺乏有效的监管。
总部设在华盛顿的亲民主智库自由之家的技术和民主主任阿德里安·沙巴兹(Adrian Shahbaz)说:“如果我们不保护他们,不为他们提供从事这种危险工作的工具,那么我们的社会就不会变得更好。如果每个人都害怕与强者对抗,因为他们害怕这样做的后果,那么这对民主状况来说将是灾难性的。”
受害的《华盛顿邮报》特约专栏作家贾马尔·卡舒吉(Jamal Khashoggi)的未婚妻哈蒂丝·肯吉兹(Hatice Cengiz)说,她使用苹果手机是因为她认为它能提供强大的保护,防止黑客攻击。
“为什么他们说苹果手机更安全?” 肯吉兹6月在她居住的土耳其接受采访时说。她的iPhone是被发现有飞马成功入侵的证据的23部手机之一。对她手机的检查发现,这次渗透发生在2018年10月,卡舒吉被杀后的几天。
NSO在一份声明中说,它没有发现任何证据表明肯吉兹的手机被飞马锁定。该公司说:“我们的技术与贾马尔·卡舒吉令人发指的谋杀案没有任何关联。”
对苹果和谷歌的操作系统以及运行这些系统的设备的安全性进行正面的比较是不可能的,但近年来关于黑客攻击苹果手机的报告越来越多,因为安全研究人员找到了攻击者在流行的苹果手机应用程序中发现漏洞的证据,其中包括iMessage、苹果音乐、苹果照片、FaceTime和Safari浏览器。
调查发现,iMessage这款允许苹果手机用户之间无缝聊天的内置消息应用,在23起成功入侵的事件中发挥了作用。在国际特赦组织安全实验室通过取证检查发现的11次失败尝试中,IMessage也是其中6次的攻击渠道。
安全研究人员说,iMessage成为攻击媒介的一个原因是,它逐渐增加了一些功能,使得它不可避免地产生了更多潜在的漏洞。
约翰霍普金斯大学的安全和密码学教授马修·格林(Matthew Green)说:“他们不可能让iMessage安全。我不是说漏洞不能被修复,但它相当糟糕。”
一个关键问题是:iMessage允许陌生人向苹果手机用户发送信息,而不需要收件人的任何警告或批准,这一功能使黑客更容易在不被发现的情况下迈出入侵的第一步。安全研究人员多年来一直对这一弱点提出警告。
公民实验室是设在多伦多大学蒙克全球事务与公共政策学院的研究机构,其安全研究员比尔·马尔扎克(Bill Marczak)说:“你的苹果手机和其他十亿台开箱即用的苹果设备,会自动运行著名的不安全软件来预览iMessages,无论你是否信任发件人。任何计算机安全初级课程的学生都能发现这里的缺陷。”
谷歌的“零点计划”会在一系列技术产品中搜索可利用的漏洞,并公开发表搜查结果,它去年在一系列博客文章中报告了iMessage的漏洞。
加密聊天应用程序Signal去年采用了新的保护措施,要求在陌生用户试图发起电话或短信时获得用户的批准,而苹果在iMessage上没有实施这种保护。苹果手机用户虽然可以选择通过激活设备设置中的一项功能来过滤陌生用户,但多年来的研究表明,设备或应用程序的普通用户很少利用这种细化控制。
在一封2800字的电子邮件中,苹果公司表示本报不能直接引用它的回复,但该公司表示,苹果手机严格限制iMessage可以在设备上运行的代码,它有保护措施,防止恶意软件以这种方式送达。该公司说,BlastDoor在用户查看网页预览和照片之前会检查其中的可疑内容,但没有详细说明这一过程。它也并没有回答关于是否会考虑限制不在个人地址簿中的发件人发信的问题。
国际特赦组织的技术分析还发现,NSO的客户使用商业互联网服务公司,包括亚马逊网络服务公司,向目标手机发送过飞马恶意软件。(亚马逊的执行主席贝佐斯拥有本报。)
亚马逊网络服务的女发言人克里斯汀·布朗(Kristin Brown)说:“当我们得知这一活动时,我们迅速采取行动,关闭了相关的基础设施和账户。”
艰难的教训
对曼金的苹果手机的渗透强调了在智能手机时代关于隐私的艰难教训。任何设备上持有的东西都是不完全安全的。花更多钱购买高级智能手机并不能改变这一事实,尤其是当一些国家的情报或执法机构想要闯入时。NSO上个月报告说,它在40个国家有60个政府客户,这意味着一些国家的多个机构与它都签了合同。
新的安全措施往往在易用性、应用程序的速度和电池寿命方面给消费者带来了负担,这促使许多技术公司在内部产生争论,这种性能权衡下是否值得启用这些措施来更好地对抗黑客攻击。
一位不愿透露姓名的前苹果公司员工说,由于苹果公司要求其员工签署协议,禁止他们对公司内的大多数情况进行评论,甚至在他们离开后也是如此。因此很难与报告苹果产品漏洞的安全研究人员进行沟通,因为该公司的营销部门碍手碍脚。
该人士说:“市场部可以否决一切,我们有一大堆事先定好的答复,会反复使用。这让人非常恼火,也拖慢了一切。”
研究人员说,苹果还限制了外部研究人员对iOS(iPhone和iPad使用的移动操作系统)的访问,这使得对代码的调查更加困难,并限制了消费者发现自己被黑的能力。
在对本报问题的电子邮件回复中,苹果公司表示,其产品营销团队只在苹果员工和外部安全研究人员之间的一些互动中有发言权,而且只是为了确保公司关于新产品的信息是一致的。它说,它致力于为外部安全研究人员提供工具,并推荐了其安全研究设备计划,在该计划中,该公司出售带有特殊软件的苹果手机,研究人员可以用它来分析iOS。
公司内外的批评者们都说,苹果也应该更专注于跟踪其最强劲对手的工作,包括NSO,以更好地了解攻击者们正在开发的尖端漏洞。这些批评者说,该公司的安全团队往往更关注整体安全,它们拥有挫败大多数攻击的功能,但可能无法阻止对受政府监控的人的攻击,这个群体通常包括记者、政治家和人权活动家,如曼金。
由于苹果公司不允许前雇员未经公司许可公开发表言论,一位不愿透露姓名的前苹果工程师说:“这是一种总是在信息不足的情况下工作的情形。你不知道外面发生事件的全貌。当你有一个资源丰富的对手时,别的事情就会摆在桌面上。”
苹果公司在给本报的电子邮件中说,近年来,它已经大大扩展了其安全团队,专注于追踪复杂的对手。苹果在邮件中说,它与竞争对手不同的是,它选择不公开讨论这些行动,而是专注于为其软件建立新的保护措施。苹果公司表示,总体而言,其安全团队在过去五年里增长了四倍。
苹果公司的商业模式依赖于每年发布新的苹果手机,这是苹果公司的旗舰产品,创造了一半的收入。每款新设备通常都有一个更新的操作系统,也供旧设备的用户使用,其中包括许多新功能,以及安全研究人员所说的新“攻击面”。
苹果公司的现任和前任员工以及与该公司合作的人说,产品发布的进度表是令人痛苦的,而且,由于没有多少时间来审查新产品的安全缺陷,便导致了新漏洞的扩散,NSO集团等公司的攻击性安全研究人员甚至可以利用这些漏洞来侵入最新的设备。
苹果公司在给本报的邮件中说,它使用的自动化工具和内部研究人员,能在绝大多数漏洞被发布之前就已经发现它们,而且它也是行业中最优秀的。
苹果公司也是“漏洞悬赏”的一个相对后来者,在这种情况下,公司向独立的研究人员支付发现和披露可能被黑客用于攻击的软件缺陷的费用。
苹果公司的最高安全官克里斯蒂奇推动了2016年增加的漏洞赏金计划,但一些独立研究人员说,他们已经停止通过该计划提交漏洞,因为苹果公司倾向于支付小额奖励,而且提交漏洞的过程可能需要几个月或几年。
上周,瑞士联邦铁路公司的iOS工程师尼古拉斯·布鲁纳(Nicolas Brunner)在一篇博文中详细介绍了他是如何向苹果公司提交一个漏洞的,该漏洞允许有人在苹果手机用户不知情的情况下永久追踪他们的位置。他说,苹果公司不善于沟通,修复该漏洞的速度也很慢,而且最终没有向他支付报酬。
在被问及这篇博文时,苹果发言人引用了苹果公司发出的电子邮件,其中称其漏洞赏金计划是业内最好的,它支付的奖励比其他公司都高。该邮件说,仅在2021年,它就向安全研究人员支付了数百万美元。
熟悉苹果安全业务的人说,克尔斯蒂奇已经改善了这种情况,但苹果的安全团队仍然以保持低调著称,拒绝在每年夏天在拉斯维加斯举行的黑帽子网络安全会议等会议上发表演讲(这被公认为世界信息安全行业的最高盛会),其他科技公司已经成为这些会议的固定成员。
熟悉这一过程的前雇员说,一旦向苹果报告了一个错误,它就会被赋予一个颜色代码。红色意味着该漏洞正被攻击者积极利用。橙色是下一个级别,意味着该漏洞很严重,但没有证据表明它已经被利用。橙色级的错误可能需要几个月的时间来修复,工程团队,而不是安全部门,会决定何时修复。
苹果公司前雇员讲述了几个例子,在向苹果公司报告和修补这些漏洞期间,一些被认为不严重的漏洞曾被利用来对付客户。
苹果公司在其电子邮件中说,没有一个系统是完美的,但它迅速修复了严重的安全漏洞,并继续投资于改善其评估漏洞严重性的系统。
但外部安全研究人员说,他们无法确定有多少iOS用户被利用,因为苹果让研究人员很难分析出能指向漏洞的信息。
网络安全公司卡巴斯基实验室的全球研究和分析团队主任科斯廷·拉伊乌(Costin Raiu)说:“我认为我们目前看到的是冰山一角。如果你把系统开放出来,给人们检查手机的工具和能力,你就必须准备好迎接新闻周期,因为大部分报道将是负面的。这也需要勇气。”
