iPhone被黑客攻击表明了为什么我们需要控制间谍软件交易
罗伯特·默克尔博士
对我们大多数人来说,下载电脑和移动设备的安全更新是一项常规工作。
但并不是所有的更新都是一样的。苹果最近的iOS 9.3.5更新(以及部分OS X的相关更新)是近年来最重要的更新之一。
这次更新修复了三个安全漏洞,如果用户点击了恶意链接,攻击者就可以完全控制iPhone。
这些安全漏洞的发现暴露了一个相对较新的、低调的、道德上有问题的行业:向世界各地的政府机构和私营公司出售强大的黑客工具,以及使这些工具有效的安全漏洞信息。
零日漏洞,黑客的王牌
在信息安全领域,漏洞是指具有安全含义的IT系统中的缺陷。零日漏洞就是IT系统开发人员所不知道的漏洞。这意味着它没有可用的修复程序。
漏洞利用是一种计算机程序,它利用一个或多个漏洞使IT系统做一些管理员不希望它做的事情。
零日漏洞是一种利用零日漏洞的漏洞。如果攻击者掌握了零日漏洞,用户或系统管理员几乎无法阻止他们。
攻击者对系统所能做的事情的范围各不相同。最有效的漏洞利用是“根”漏洞利用,它使攻击者能够完全控制系统。
同样,漏洞利用的交付方式也各不相同。远程攻击是一种可以通过网络传输到目标设备的攻击。
最阴险的远程攻击是在没有任何用户参与的情况下发生的,但即使是需要欺骗用户点击链接的远程攻击,也经常是有效的。
监视一名人权活动家
当国际公认的阿联酋人权活动家艾哈迈德·曼苏尔(Ahmed Mansoor)在他的iPhone上收到88宝金博一条看起来很奇怪的短信时,iOS的漏洞才被曝光。
Mansoor非常怀疑,他将这条信息转发给了安全研究人员,后者对这条信息进行了调查,发现了漏洞及其来源。金博宝188欢迎你公民实验室和Lookout Security的研究人员提供了详细的报告。金博宝188欢迎你
针对曼苏尔iPhone的袭击非常严重。它利用了三个零日漏洞的组合,苹果不知道这些漏洞可以让攻击者完全控制他的iPhone和上面的数据。
以短信的形式发到了他的手机上。它的一个缺点是它需要Mansoor实际点击该消息中的恶意链接。这是已知的首次针对iPhone的此类攻击。
NSO集团,非凡的间谍软件出口商
根据公民实验室的研究人员的说法,用来攻击曼苏尔iP金博宝188欢迎你hone的软件很可能是NSO集团的作品,这是一家总部位于以色列的公司,据报道是美国人所有。
公民实验室关于曼苏尔案件的报告说:
iPhone零日漏洞的高成本、显然使用的是NSO集团政府专用的Pegasus产品,以及此前已知的针对Mansoor的阿联酋政府攻击,这些迹象表明,阿联酋政府可能是此次攻击的幕后操纵者。
它说,同样的NSO集团软件也被用来针对墨西哥的记者,也被用于肯尼亚。
以色列报纸YnetNews报道称,国防出口管制局(DECA)不顾某些阿拉伯国家的私人公司的强烈反对,授予NSO集团出售其间谍项目“飞马”的许可证。
新闻报道还说,外交部官员强调,NSO集团本身没有参与任何数据泄露。
间谍软件集市
NSO Group只是众多总部位于富裕的美国盟友民主国家的公司之一,它们向政府机构提供类似的黑客工具,包括以系统性侵犯人权而闻名的不民主政府。
2014年,总部位于意大利的Hacking Team公司就遭到了黑客攻击。该公司的客户名单被泄露给了媒体,其中包括苏丹和沙特阿拉伯政府。
除了交易完整的间谍软件产品外,还有一些公司交易有关零日漏洞的信息。一家名为Zerodium的公司甚至发布了一份“奖励清单”,表明它将为针对不同软件平台的不同零日漏洞支付多少钱。苹果iOS漏洞可以获得高达50万美元的收益。
Zerodium声称在2015年11月购买了一个针对iPhone的零日远程漏洞,其效果与NSO集团的黑客攻击类似。
目前尚不清楚该漏洞所使用的漏洞(如果确实存在)是否与NSO集团的黑客攻击相同,因此它是否仍然适用于iOS 9.3.5和10。
Zerodium的客户名单只有Zerodium和允许其运营的政府知道。但是像NSO集团这样的间谍软件供应商需要稳定的漏洞供应来保持他们的工具的功能,所以他们可能是合理的客户。
让我们其他人暴露在危险中
警察和情报机构确实有正当的理由想要秘密进入IT系统。但在我看来,目前的黑客工具和零日漏洞交易应该被大幅遏制。
首先,西方民主国家非常愿意允许将这些工具出售给非民主政府,这些政府利用这些工具来监视政治对手。
其次,通过囤积和利用漏洞,而不是帮助软件开发人员修复漏洞,如果其他人发现并利用同样的零日漏洞,这种交易将使我们其他人得不到保护。
虽然政府的核心国防和情报基础设施可能会得到自己的秘密保护,以抵御此类攻击,但还有很多其他目标可能面临高度复杂的攻击风险,甚至是由政府支持的黑客发起的攻击,而且没有这种保护的好处。
例如,俄罗斯政府支持的黑客被指控攻击知名非政府组织,如美国民主党的组织部门,甚至是世界反兴奋剂机构(WADA)。
世界反兴奋剂机构的黑客攻击显然是鱼叉式网络钓鱼的结果,可能不涉及使用零日漏洞。但零日漏洞很容易被用于类似的攻击。
“NOBUS”适用于国家安全局,但不适用于私营部门
据报道,美国政府自己的黑客机构——国家安全局(National Security agency,简称nsa)有一项“只有我们”(Nobody But US)的政策,指导其决定是向软件开发者披露发现的漏洞,还是保密以供利用。
正如前国家安全局局长迈克尔·海登所说:
如果这里有一个削弱加密的漏洞,但你仍然需要在地下室里放四英亩的Cray电脑来运行它,你可能会想到“NOBUS”,这是一个我们在道德上或法律上都没有义务去修补的漏洞——这是一个在道德上和法律上我们可以尝试利用的漏洞,以保护美国人免受他人的侵害。
国家安全局是否真的遵循了这一政策的精神是值得怀疑的。
但在全球范围内,私人公司与政府之间更广泛的黑客工具交易,却没有这样的指导原则。令人不安的是,它似乎离开厚膜很近。
是时候做出改变了。
罗伯特·默克尔博士就职于信息技术学院。
本文发表于谈话的内容。