苹果遭“打脸”:最安全的 iPhone 却被间谍软件“攻破”!

资讯 专栏收录该内容
517 篇文章 39 订阅

整理 | 郑丽媛

出品 | CSDN(ID:CSDNnews)

上周末,国外多家知名媒体共同披露了一款名为“飞马(Pegasus)”的手机间谍软件——由以色列软件监控公司 NSO 开发,用于监视记者、律师和政治家等较有影响力的人。

据报道,“飞马”一旦侵入手机,就可以在使用者不知情的情况下,提取短信、照片、电子邮件,对通话进行录音,远程开启手机的麦克风和摄像头,对用户隐私造成极大威胁。此次“飞马”的入侵范围更是遍布全球 50 多个国家,可能被监控人数高达 5 万。

而一向以“安全”著称的 iPhone 这次也被“攻破”了:据国外机构 Amnesty International(国际特赦组织)发现,哪怕是 iOS 14.6 系统的 iPhone 12,“飞马”都可以入侵,甚至都不需要点击链接。

iMessage 漏洞成“飞马”的突破口

如开头所说,“飞马”的开发商 NSO 是一家软件监控公司,特别的是,它主要向政府机构、执法部门出售软件,号称以此打击恐怖主义、汽车爆炸及贩毒等犯罪行为。

之所以此次 NSO 的“飞马”间谍软件会在国际引起轩然大波,是因为分析发现,“飞马”监控了全球各界人士的行踪:在“飞马”的 5 万个潜在被监控者号码清单中,1000 多个号码的使用者身份已确认,其中包括 189 名记者、600 多名政界人士和政府官员、65 名企业高管、85 名著名人权活动家和多位国家元首及总理。

一般来说,这种间谍软件都会向用户发送一条点击即“中招”的恶意链接,因此用户只要不点击未知链接就能有效避免此类隐患。但调查专家发现,目前的“飞马”显然是升级版本——即使用户不点击链接,“飞马”依旧可以神不知鬼不觉地入侵目标对象的手机,进行各种间谍监控活动。因此,《卫报》认为“飞马”可能是迄今为止“最强的间谍软件”:一旦成功安装,手机就会成为“24 小时监控设备”。

经 Amnesty International 测试调查,有数千部 iPhone 被列为“飞马”的潜在目标,但目前无法确认具体有多少已被成功入侵。但 Amnesty International 技术部门副主任 Danna Ingleton 认为这已足够引起重视:“数以千计的 iPhone 可能已遭到入侵。这是一个全球性的问题——每个人都面临风险,甚至像苹果这样的科技巨头也无法应对目前的大规模监控。”

虽然入侵 iPhone 的途径有多种,但其中大多数专家都认为,向来号称“安全”的 iPhone 有一个最大的漏洞:iMessage

讽刺的是,苹果今年早些时候还曾试图加强 iMessage 的安全性,创建了一个名为 BlastDoor 的功能,以筛选摒除进入手机的可疑信息。目前看来,这个举措并没有保障 iPhone 用户的安全。

对此,多伦多大学网络安全分析师部门 Citizen Lab 的研究员 Bill Marczak 说:“'飞马'可通过 iMessage 入侵苹果最新版本的 iOS,所以很明显 NSO 击败了 BlastDoor。”

前国安局雇员,Mac 安全开发公司 Objective-See 创始人 Patrick Wardle 也认为苹果一直引以为豪的安全功能是一把双刃剑:“iMessage 是端到端加密的,这就意味着没有人会发现你引入的漏洞,对攻击者而言这简直就是绝佳的入侵环境。”

这种不透明的制度令研究人员很难检查 iPhone 的内部情况。“除非特别不走运,不然攻击者植入在手机上的软件根本不会被发现。”Patrick Wardle 补充道。

苹果谴责“飞马”,NSO 全盘否认

针对此事,苹果在强调 iPhone 安全性的同时,还公开谴责了“飞马”的网络攻击行为:“苹果明确谴责针对记者、人权活动家和其他寻求让世界变得更美好的人的网络攻击。十多年来,苹果在安全创新方面一直处于行业领先地位,因此,安全研究人员一致认为 iPhone 是市场上最安全的移动设备。”

此外,苹果认为“飞马”这类间谍软件的攻击非常复杂,开发成本应需数百万美元,因此“保质期”通常较短,并且针对特定的个人,不会对绝大多数的苹果用户造成威胁。不过苹果也表示:“我们将继续努力保护所有客户,不断为他们的设备和数据添加新的保护措施。”

与此同时,“飞马”的开发公司 NSO 却对此事全盘否认,指控各家媒体的报道“充满错误的假设和未经证实的理论”,斥责他们“夸大其词”、“缺乏事实依据”,质疑他们信息来源的可靠性和真实性。NSO 为此还发布了一则声明:“'飞马'是专门用于对抗罪犯和恐怖分子的软件,我们只会把'飞马'出售给那些有良好人权记录的军方、执法和情报部门。”

确认手机是否被“飞马”监听

虽然如苹果所说,“飞马”不会对大多数普通用户构成威胁,但 Amnesty International 还是为此开发了名为 Mobile Verification Toolkit(MVT)的工具,以帮助用户确认自己的手机是否遭到了“飞马”的监听,目前适用于 Android 和 iOS 系统。不过 Amnesty International 补充道,MVT 对  iPhone 的检测更为准确。

(MVT 的 GitHub 地址:https://github.com/AmnestyTech/investigations/tree/master/2021-07-18_nso)

据介绍,MVT 将让用户获取整个 iPhone 备份(如果你的手机越狱,则进行完整的系统转储),而一旦启动程序,MVT 就会扫描用户的 iPhone 备份文件以查找任何被入侵的证据。这个过程大约需要一两分钟,然后在文件夹中生成几个文件,其中包含扫描结果。如果 MVT 发现手机疑似被入侵的迹象,会在输出的文件中说明。

不过需要强调一点,MVT 的检测结果并非百分百准确,也会有“误报”的可能。

参考链接:

  • https://www.theguardian.com/news/2021/jul/19/how-does-apple-technology-hold-up-against-nso-spyware

  • https://arstechnica.com/information-technology/2021/07/apple-under-pressure-over-iphone-security-after-nso-spyware-claims/

  • https://www.amnesty.org/en/latest/news/2021/07/pegasus-project-apple-iphones-compromised-by-nso-spyware/

60+专家,13个技术领域,CSDN 《IT 人才成长路线图》重磅来袭!

直接扫码或微信搜索「CSDN」公众号,后台回复关键词「路线图」,即可获取完整路线图!

  • 7
    点赞
  • 7
    评论
  • 3
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

<p style="color:#666666;"> <span style="font-size:14px;">本门课程重实战,将基础知识拆解到项目里,让你在项目情境里学知识。</span> </p> <p style="color:#666666;"> <span style="font-size:14px;">这样学习方式能让你保持兴趣、充满动力,时刻知道学东西能用在哪、能怎么用。</span> </p> <p style="color:#666666;"> <span style="font-size:14px;">平时不明白知识点,放在项目里去理解就恍然大悟了。</span> </p> <p style="color:#666666;"> <span></span> </p> <p style="color:#666666;"> <span style="font-size:14px;"> </span> </p> <p style="color:#666666;"> <span style="color:#FF0000;font-size:14px;"><strong>一、融汇贯通</strong></span> </p> <p style="color:#666666;"> <span style="font-size:14px;">本视频采用了前后端分离开发模式,前端使用Vue.js+Element UI实现了Web页面呈现,后端使用Python Django框架实现了数据访问接口,前端通过Axios访问后端接口获得数据。在学习完本章节后,真正理解前后端各自承担工作。</span> </p> <p style="color:#666666;"> <span style="font-size:14px;"> </span> </p> <p style="color:#666666;"> <span style="color:#FF0000;font-size:14px;"><strong>二、贴近实战</strong></span> </p> <p style="color:#666666;"> <span style="font-size:14px;">本系列课程为练手项目实战学生管理系统v4.0开发,项目包含了如下几个内容项目总体介绍、基本功能演示、Vuejs初始化、Element UI使用、在Django中实现针对数据增删改查接口、在Vuejs中实现前端增删改查调用、实现文件上传、实现表格分页、实现导出数据到Excel、实现通过Excel导入数据、实现针对表格批量化操作等等,所有功能都通过演示完成、贴近了实战</span> </p> <p style="color:#666666;"> <span style="font-size:14px;"> </span> </p> <p style="color:#666666;"> <span style="color:#FF0000;font-size:14px;"><strong>三、课程亮点</strong></span> </p> <p style="color:#666666;"> <span style="font-size:14px;">在本案例中,亮点在于前后端做了分离,真正理解前后端各自承担工作。前端如何和后端交互</span> </p> <p style="color:#666666;"> <span style="font-size:14px;"> </span> </p> <p style="color:#666666;"> <span style="color:#FF0000;font-size:14px;"><strong>适合人群</strong></span> </p> <p style="color:#666666;"> <span style="font-size:14px;">1、有Python语言基础、web前端基础,想要深入学习Python Web框架朋友;</span> </p> <p style="color:#666666;"> <span style="font-size:14px;">2、有Django基础,但是想学习企业级项目实战朋友;</span> </p> <p style="color:#666666;"> <span style="font-size:14px;">3、有MySQL数据库基础朋友</span> </p> <p style="color:#666666;"> <span style="font-size:14px;"> </span> </p> <p style="color:#666666;"> <span style="font-size:14px;"><img alt="" src="https://img-bss.csdnimg.cn/202009070752197496.png" /><br /> </span> </p> <p style="color:#666666;"> <span style="font-size:14px;"><br /> </span> </p>
相关推荐
<p><span style="color: #666666;"><span style="font-size: 14px;">本课程讲了Vue3+Vue2入门基础与实战,其中还重点讲解了ES6、TypeScript这些基础知识,实战是</span></span><span style="color: #666666;"><span style="font-size: 14px;">价值5000元真实企业级项目---仿京东电商网站,同时项目代码全部赠送</span></span><span style="color: #666666;"><span style="font-size: 14px;">,还赠送前后端架构模板,工作中直接使用。</span></span></p> <p> </p> <p><span style="color: #666666; font-size: 14px; background-color: #ffffff;">VUE是目前热门前端框架之一,就业薪资很高,本课程教您如何快速学会VUE并应用到实战,教你如何解决内存泄漏,常用UI库使用,自己封装组件,正式上线白屏问题,性能优化等。对正在工作当中或打算学习VUE高薪就业你来说,那么这门课程便是你手中葵花宝典。</span><br /><br /><span style="color: #666666; font-size: 14px; background-color: #ffffff;">学习技巧学习当中不要只看,一定要多敲代码,如果碰到某一个知识点不是很明白,不要钻牛角尖,千万不要因为一个点,放弃整个森林,接着往下学,硬着头皮开发项目只要能亲自开发一个完整项目,你会发现不明白地方自然而然就明白了,项目做出来就真正学会了。</span><br /><br /><span style="color: #666666; font-size: 14px; background-color: #ffffff;">此vue课程以面试和实战为基础进行讲解,每个知识点都会让你知道在实际项目开发中如何使用,学习后,可以开发大型项目,增强逻辑思维,至少让你拥有3年以上开发经验实力</span><br /><br /><span style="color: #666666; font-size: 14px; background-color: #ffffff;">代码和ppt均可下载</span><br /><br /></p> <p><span style="color: #666666; font-size: 14px; background-color: #ffffff;">免费提供《企业级完整实战项目接口文档》,绝对可用。</span></p> <p><img src="https://img-bss.csdn.net/202001090736032736.png" alt="" /><img src="https://img-bss.csdn.net/202001090736166806.png" alt="" /><img src="https://img-bss.csdn.net/202001090736273968.png" alt="" /></p> <p> </p> <p> </p>
©️2020 CSDN 皮肤主题: 代码科技 设计师:Amelia_0503 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值