iOS 零日漏洞 可被政府強制監控 最新版本 14.7 仍存入侵危機

iOS 零日漏洞 可被政府強制監控 最新版本 14.7 仍存入侵危機

Apple 再被發現 iOS 零日漏洞 ,民權組織發現以色列監控公司 NSO Group 可透過 iMessage 漏洞遙距入侵 iPhone 手機,過程完全不需用戶參與。而 NSO Group 作為專為政權服務的公司,如屬高風險監控對象,務必在 Apple 推出安全更新前小心使用手機。

目錄

iOS 零日漏洞 可被強制入侵

NSO Group為政權提供監控服務

多個作業系統均存在被監控風險

Unc0ver破解手機限制開發新用途

iOS零日漏洞可被強制入侵

國際維權組織 Amnesty International 及非謀利組織 Forbidden Stories 聯合發表的最新報告指出,以色列監控公司 NSO Group 正利用 iOS 上的 iMessage 零日零點擊(Zero-Day Zero-Click)漏洞,入侵特定對象的 iPhone 進行監控工作。報告中載有一個來自印度傳媒工作者的被入侵案例,該記者採用的 iPhone XR 雖然已運行最新的 iOS 14.6 作業系統,但仍然被 NSO Group 的監控程式 Pegasus 成功入侵,其他個案還包括 iPhone X 及 iPhone 12,同時於今年 6 至 7 月期間發現被入侵。為 Amnesty 提供技術支援的網絡安全研究組織 Citizen Lab 其後亦在獨立調查中發現類似個案,無論是 iPhone 12 Pro Max 或 iPhone SE2,都在用戶未有點擊任何可疑連結或被誤導安裝任何程式下,被發現手機內存有 Pegasus 監控軟件。

NSO Group為政權提供監控服務

Pegasus 是 NSO Group 專門開發的監控軟件,官方標明它可售予政府機構作調查罪案之用,但由於審批缺乏透明度,因此過去曾被國際維權組織抨擊,指它們協助政權侵害敵對政府的官員、維權人士及記者的私隱。兩年前 Facebook 亦曾指控對方製造出針對旗下即時通訊軟件 WhatsApp 的入侵工具,現時仍在對簿公堂中。今次 NSO Group所使用的 iMessage 零日漏洞入侵方法,與 Citizen Lab 上年年中發現的完全不同,但同樣在入侵後可取用大量手機使用權限,包括錄音、拍攝、定位,以及盜取手機內儲存的資料等。

多個作業系統均存在被監控風險

Citizen Lab 續指出另一間以色列監控公司 Candiru 亦有開發不同電腦系統的入侵工具,例如專門針對Windows 系統的 DevilsTongue,以及用於 iOS、Androids、macOS 的監控工具,廣泛監控不同對象,與 Citizen Lab 攜手進行調查的 Microsoft 亦發現,受監控的對象來自多個國家,包括巴基斯坦、伊朗、西班牙、英國、土耳其、新加坡,至少有 100 多個政治人物、維權人士、記者成為監控目標。上述機構表示已向 Apple 舉報該項漏洞,但在新推出的 iOS 14.7 上似乎仍未被堵塞,因此如屬高風險人士,必須避免使用 iPhone,直至 Apple 推出可用的更新檔。

Unc0ver破解手機限制開發新用途

事實上,破解 iOS 雖然未必一定跟監控目的有關,例如知名的 iOS 破解團隊 Unc0ver 雖然以破解 iOS 為目標,但主要是為了可取得自由使用系統功能,從不同途徑安裝手機 app,發掘iOS 的潛在用途。不過由於破解手機方法同樣可以應用於監控方面,因此如作業系統已被破解,便存在被入侵的風險,必須盡快安裝官方的新系統更新堵塞漏洞。

詳情:https://bit.ly/3zk082z