超強間諜軟體敲響手機數據安全警鐘
2016年8月26日(德國之聲中文網)其實自從三年前斯諾登曝光了美國國家安全局(NSA)的監控醜聞之後,人們就已經知道,所有的通訊渠道都處於監控之下。不過與漏洞無處不在的個人電腦相比,人們以為至少現代的智慧型手機還是相對安全的,因為廠商提供了嚴格的安全預防措施。比如蘋果公司就是標榜個人數據保護和用戶的信任作為其智慧型手機iPhone的營銷口號。然而剛剛被發現的一款間諜軟體卻具有前所未有的入侵能力,讓人們對iPhone安全性能的信任打上了問號。
因為面對被專家們命名"Pegasus"的這一間諜軟體,不管是iPhone的指紋辨識系統,還是手機SIM卡上資料庫裡的安全裝置,全都不堪一擊。這個軟體利用了蘋果軟體中三個此前不為人所知的漏洞,這三個漏洞分別藏在Safari網頁瀏覽器和iOS系統內核裡。
據美聯社報導,一位名叫曼蘇爾(Ahmed Mansoor)的人權律師披露,自己曾收到帶有鏈接的簡訊,其中聲稱點擊鏈接就可以看到阿聯酋監獄中虐待囚犯的內幕。而一家名為Citizen Lab的網路監管組織指出,如果iPhone用戶點擊了這個鏈接,他的手機就會自動安裝上這個間諜軟體。該軟體利用上述的這三個安全漏洞,就會把蘋果手機變成一部遠程監控設備,可以窺探使用者的言語行蹤。
在經過了十天的開發之後,蘋果公司對其運行系統進行了更新,填補了這些漏洞。--這樣的速度在這個行業來說的確是很快的。然而,不安的種子已經埋下。因為如今我們整個生活中越來越多的數據都轉移到了手機上:私密的通訊聯繫、照片、銀行帳戶訊息、健康數據等等。
而現代智慧型手機系統是數以百萬計的軟體編碼匯合而成的一個極為複雜的整體,誰知道那裡面還藏有多少安全漏洞呢?還有多少漏洞也在以類似的方式被利用?
訊息安全技術公司Lookout對這次曝光的間諜軟體進行了深入的研究發現,從三年前蘋果發布的iOS7到所有比它更新的版本,全部都可以成為"Pegasus"的攻擊對象。這個間諜軟體可以監聽錄製電話通話,可以跟蹤使用者的行蹤地點,還可以偷窺手機通訊錄,閱讀電子郵件,查看Facebook用戶數據,以及各種社交軟體如WhatsApp、Skype以及中國用戶最常用的微信上的數據。Lookout公司的研究負責人穆瑞(Mike Murray)表示,如此專業且完善的攻擊行動到目前為止還非常少見。
專家猜測,"Pegasus"軟體幕後的操縱者可能是來自以色列的NSO集團,它的所有者是一位美國金融投資商。該公司並未透露軟體的開發者是誰,僅僅對《紐約時報》(New York Times)和網路媒體"Vice"表態稱,這款軟體僅僅出售給政府機構,而且不會賣給那些受到出口限制的國家。
其實在斯諾登解密事件之後,或者更早,情報機構利用未知的運行系統漏洞來破解通訊工具,就已經是常用的手段。而"Pegasus"的問世則提供了獨一無二的機會,去購買具有這樣功能的軟體。
與此同時,軟體安全漏洞已經成為商業交易的對象,而且可以帶來巨額的金錢收入。幾個月前,一家公司因為發現了iPhone手機裡的一個"零日"漏洞(Zero-Day),就報價100萬美元出售這一此前不為蘋果公司所知的發現。
原本對於這種交易採取抵制態度的蘋果公司,幾周前也放下了身段,願意為發現運行系統安全漏洞者支付最高達5萬美元的酬金。
美國情報機構國家安全局(NSA)就在有目的地尋找類似的"零日"漏洞,儘管美國有一個政府機構專門負責定期作出裁決,要不要本著維護公眾利益的考慮,將相關的漏洞發現知會營運商。因為專家一再警告,這些漏洞既然可以被情報機構所用,那麼也是有可能被犯罪分子發現的。
廣大用戶該做什麼?
那麼作為普通消費者的iPhone用戶,現在是否需要對自己的數據安全懷有憂慮?應該做些什麼去保護自己的隱私安全呢?《南德意志報》線上版(sueddeutsche.de)告訴讀者,蘋果手機用戶現在需要做的就是更新自己的運行系統。
如上文所述,從iOS7到9.3.4之間的版本全都有可能遭到這一間諜軟體的攻擊,所以蘋果公司建議用戶立即更新至最新的iOS9.3.5版本系統。最新系統已經將可能被Pegasus所利用的三個安全漏洞全部打了補丁,消除了這方面的安全隱患。操作起來很簡便,只需進入「設置>通用>軟體更新」即可升級至最新版本,整個過程用不了幾分鐘,但前提是手機電池必須有至少50%的電量,而且需要接通電源才可以,當然最好是在有無線網的情況下進行更新啦!
不過,幫助蘋果進行這次系統安全升級,對Pegasus軟體進行了深入研究的Lookout公司也承認,由於這款軟體主要是用於對某些特定人群進行監控,所以普通老百姓受到威脅的幾率並不是很大。
使用我們的App,閱讀文章更方便!給yingyong@dingyue.info發送一封空白電子郵件就能得到軟體和相關訊息!
閱讀每日時事通訊,天下大事一覽無余!給xinwen@dingyue.info發送一封空白電子郵件就能完成訂閱!