Pegasus:iOS和Android系统终极间谍软件

在卡巴斯基安全分析师峰会上,Lookout的研究人员透露,Pegasus不仅会攻击iOS,也会攻击Android。Android版本在某些方面与iOS版本不同。下面我们就着重谈谈Pegasus,并解释为什么我们要用”终极”这个词来形容它。

苹果iPhone和iPad用户通常认为自己是安全的。他们表示,没有针对iOS的恶意软件。苹果几乎没采取任何措施来改变用户心目中的这种印象 – 苹果甚至不允许自己的App Store中有反病毒解决方案,原因嘛,你知道的,据说苹果系统根本不需要反病毒软件。

在这里我们用的词是”据说”。实际上,在研究中发现确实存在针对iOS用户的恶意软件 – 而且事实也多次证明了这一点。2016年8月,研究人员透露了Pegasus(飞马)的存在,这种间谍软件会劫持任何iPad或iPhone,收集被攻击用户的相关数据,并对这些用户进行监视,再次证明了iOS系统并不是铜墙铁壁。这一发现让整个网络安全领域…感到不安。

在卡巴斯基安全分析师峰会上,Lookout的研究人员透露,Pegasus不仅会攻击iOS,也会攻击Android。Android版本在某些方面与iOS版本不同。下面我们就着重谈谈Pegasus,并解释为什么我们要用”终极”这个词来形容它。

Pegasus:发现

Pegasus的发现得感谢阿联酋人权活动家Ahmed Mansoor,因为他碰巧成为Pegasus的其中一个攻击目标。Pegasus是一种鱼叉式网络钓鱼攻击:Mansoor收到了几条他觉得其中含有恶意链接的短信,所以他把这些短信发给了Citizen Lab的安全专家,后者又请另一家网络安全公司Lookout参与了调查。

Mansoor是对的。如果他当时点击了这些链接,他的iPhone会被恶意软件感染 – 针对iOS的恶意软件。准确地说,是针对没有越狱的iOS。这款恶意软件被戏称为Pegasus,Lookout研究人员称,这是他们迄今为止在所有端点上见过的最为复杂的攻击。

Pegasus出自NSO集团之手,这是一家以色列公司,专门开发间谍软件。这意味着这款恶意软件是商业产品 – 只要掏钱就能买到。Pegasus利用iOS中的三个零日漏洞(以前未知的漏洞),能以静默方式对设备越狱并安装监控软件。另一家网络安全公司Zerodium曾经悬赏百万美元寻找iOS中的零日漏洞,所以完全可以想见,开发Pegasus肯定花了一大笔钱。

说到监视,我们要弄清楚的一点是:我们谈论的是全面监视。Pegasus是一种模块化恶意软件。扫描目标设备后,会安装必要的模块来读取用户的短信和邮件、监听电话、捕捉截屏、记录按键、窃取浏览器历史记录、通讯录等等。基本上,它能窥探被攻击目标的生活方方面面。

另外值得注意的是,Pegasus甚至可以监听加密的音频流并读取加密消息 – 因为它有按键记录和音频录音功能,所以能在消息加密之前就窃取消息(而对于传入的消息,能在解密之后窃取)。

Pegasus另一个有意思的地方是,它非常努力地试图隐藏自己。如果Pegasus超过60天无法与命令控制(C&C)服务器进行通信,或者如果检测到目标安装设备不正确,不是目标SIM卡,则会启动自毁程序(请记住,这是一款有针对性的间谍软件;NSO的客户不会追踪随机被攻击用户)。

脱缰的野马

或许Pegasus的开发商认为他们在这个项目中投入了那么多的资金,不应该只限制用于一个平台。在第一个版本被发现之后,在很长一段时间并没有发现第二个版本,而在2017年安全分析师峰会上,Lookout研究人员谈到了Pegasus for Android,也称为Chrysaor – Google是这么叫它的。Android版本与其iOS版本的功能非常相似,但在穿透设备的技术方面有所不同。

Pegasus for Android利用的不是零日漏洞。相反,它利用的是赫赫有名的root权限获取方法 – Framaroot。另一个区别是:如果iOS版本无法对设备越狱,整个攻击即告失败,但若是使用Android版本,即便恶意软件无法获得必要的root访问权来安装监控软件,也仍然会直接要求用户提供所需权限,以便至少窃取其中一些数据。

Google称只有几十台Android设备被感染,但是对于有针对性的网络间谍攻击,这已经不算少了。在发现的被Pegasus for Android入侵的设备中,以色列最多,格鲁吉亚紧随其后,墨西哥排名第三。此外在土耳其、肯尼亚、尼日利亚、阿联酋等国家也发现了Pegasus for Android。

你可能是安全的,但是…

Pegasus iOS版的新闻曝出后,苹果公司迅速作出反应,紧急发布了iOS安全更新(9.3.5),修补了上述三个漏洞。

Google除了协助调查了Android版本的情况外,采取了另一条途径,它直接通知潜在的Pegasus攻击目标。如果你已经将iOS小工具更新到最新软件版本,并且没有收到Google的警告消息,那么你可能是安全的,没有受到Pegasus的监视。

然而,这并不意味着就没有针对iOS和Android这两个系统的其他未知间谍软件。Pegasus的存在证明了iOS恶意软件不仅仅是恶意编码的广告软件和勒索网站,这些都很容易阻止。在研究实验室中还发现了一些严重的威胁。为此,下面是我们的三个简单建议,有助于你尽可能保持安全。

1.务必及时更新设备,特别注意安全更新。

2.在每台设备上安装一款优秀的安全解决方案。iOS上没有安全软件,但我们希望Pegasus能促使苹果重新考虑其安全策略。

3.别被网络钓鱼所骗,即使是像Ahmed Mansoor这样有针对性的鱼叉式网络钓鱼。如果收到未知来源发送的链接,切勿自动单击。点击之前请三思,或者干脆就不要点击。

我的面部信息如何被窃

不久前我们对FindFace进行了测试,FindFace是一种服务程序,它可将图片与社交网站VK.com中的头像数据库进行比对,并搜索匹配。当时,我的同事发现了一些有意思的结果。而我的发现则令人吃惊。

提示