蘋果 iPhone 和 iPad 用戶普遍都認為他們很安全,在 iOS 上沒有惡意程式,而蘋果方面也對這種謬誤也充耳不聞,甚至禁止防毒軟件在App Store上架,只因為他們「認為」無此需要。不過放眼「真實」世界,瞄準 iOS 用戶的惡意程式確實存在,其中能夠對 iPad 和 iPhone 展開間諜行為的 Pegasus 就在 2016 年 8 月出現過,不但收集用戶資料,更能進行監控,實在讓人不安。
飛馬掘起
發現到飛馬(Pegasus),全賴一位活躍人權份子 Ahmed Mansoor 的協助,因為他是被攻擊目標之一。黑客採用釣魚的方式發動進攻,當 Mansoor 收到含有可疑連結的 SMS 訊息時,他把訊息傳送到兩家網絡保安公司進行研究,而結果真的有所發現。
如果 Mansoor 點擊連結,他的 iPhone 便會被惡意程式(針對 iOS)感染,即使沒有越獄(Jailbreak)也無法倖免,而這款惡意程式便是 Pegasus,被研究人員稱為針對終點(endpoint)最精密的的攻擊。Pegasus 由 NSO Group 研發,是一家以色列公司以研發間諜軟件為主要業務,也意味著此惡意程式是一件商品,只要有錢,任何人都可以購買。
Pegasus 倚賴 3 個 iOS 上的零時差漏洞(當時未被發現),容許黑客可以不動聲色地對裝置進行越獄和安裝監聽軟件。曾經有一家網絡保安公司支付 100 萬美元購買一個 iOS 的零時差漏洞,可想而知製作 Pegasus 的成本也可能是天文數字。
Pegasus是模組化的惡意程式,它會首先掃瞄目標的裝置,然後安裝需要的模組去讀取用戶的訊息和電郵、聆聽來電、擷取畫面、記錄按鍵、盜取瀏覽記錄和聯絡人資訊等等,基本上目標用戶的一舉一動都全部被監控。而且有一點需要特別留意,全賴輸入記錄和錄音功能,Pegasus 能夠聆聽已加密的錄音和讀取已加密的訊息,因為它能夠在加密動作發生前盜取訊息,如果是接收的訊息,則在解密後進行盜竊。
為避免被發現,Pegasus很努力把自己隱藏,如果惡意程式無法和C&C伺服器取得連繫超過60日,或者偵測到被安裝在錯誤的裝置和錯誤的SIM上,便會展開自毀程序,不留下被人追蹤的線索。
向其他平台伸出魔爪
可能 Pegasus 的開發員也發現如果只局限於一個平台,其成本實在太高的原故,所以在發現第一個版本之後的短時間,第二個版本已經出現,而且在SAS 2017之上研究人員談到 Pegasus 的 Android 版,也是 Google 口中的 Chrysaor 。Android 版的功能與 iOS 版在功能上十分相似,只是滲透裝置時所使用的技術有所不同。
Android 版的 Pegasus 無需依賴零時差漏洞,改為使用知名的 root 機方法 Framaroot ,另一個分別,在於如果iOS 越獄失敗,整個攻擊便失敗,但是在 Android 版,即使惡意程式無法取得深層權限安裝監控軟件,它仍然會直接向用戶詢問以取得權限,至少盜取部份用戶的資料。
雖然 Google 表示只有數十部 Android 裝置受到感染,但是考慮到是針對性的網絡間諜攻擊,受感染數字已相當高,其中以以色列最多用戶受到感染。
暫時安全
當 Pegasus 的新聞傳出時,蘋果已經快速作出應對,透過推出 iOS 安全更新(9.3.5),把該 3 個零時差漏洞修補。至於Google,不但協助調查 Android 版的病毒,更採取其他解決方法,直接與潛在 Pegasus 目標人士聯絡,如果你已更新 iOS 系統到最新版本,或者沒有接過來自 Google 的警告訊息,閣下應該就安全了。
不過,無論是未知的間諜軟件,或者主流的勒索軟件,用戶都應該提高警剔,留意以下三點有助閣下遠離危險:
1. 時刻更新你的裝置,並且留意保安更新。
2. 在裝置上安裝可靠的保安方案,可惜 iOS 用戶沒有這個選項,唯有希望 Pegasus 事件能令蘋果重新考慮。
3. 不要掉入釣魚陷阱,如果收到不明來歷的連結,在點擊之前請三思。
