长期报导中东事件问题的纽约记者 Ben Hubbard 在自家幕后《Time Insider》专栏自爆,自己 iPhone 手机 2018~2021 年间 4 次遭 Pegasus 飞马间谍软件攻击,尤以后两次攻击最可怕,因骇客采用前所未有的“免点击”(Zero-click)攻击,使用者只要接收恶意简讯,即使没有点击任何恶意连结,手机照样被骇。这宛如“鬼入侵”的情节,不但打破 iPhone 坚不可破的神话,也完全颠覆资安三观。
不需点击连结、没有任何迹象,iPhone 就被骇
虽然骇客攻击 Hubbard 的 4 次皆用 Pegasus 间谍软件,还是显示攻击技术日新月异。除了第二次攻击透过 WhatsApp 发送恶意连结,其余三次都透过 iMessage 发送内含恶意连结的简讯。虽然前两次攻击都没有得逞,但 2020 及 2021 年两次就不一样了,骇客透过 Pegasus 间谍软件启动“Zero-click”全新攻击手法,即使 Hubbard 没有点击恶意连结,他的 iPhone 手机仍遭入侵。
“Zero-click”最可怕的地方就是,攻击者完全不需与使用者互动就能成功骇进手机。对使用者来说,手机没有任何迹象就被骇了,且间谍软件研究机构 Citizen Lab 表示,骇客一旦成功入侵手机,会尝试将首次入侵痕迹移除。研究人员最终仍能找到攻击者入侵迹象,但说不准骇客到底检视手机多久,和偷走了什么。
既然骇客都已入侵手机,所以简讯、照片、密码等任何内容都有可能被窃。不仅如此,骇客也能远端启动 iPhone 麦克风与摄影机监听受害者,如果你是政要、明星或记者,很有可能被骇客监听一切。
Zero-click 攻击手法加持,让 Pegasus 间谍软件长驱直入 iPhone
破解并入侵手机已成为许多安全公司最有利可图的业务,因许多-与执法机构意欲监听特定目标的需求高涨。长久致力隐私与安全的苹果手机,一直是骇客最想破解的终极目标,这也是何以 Pegasus 间谍软件(以色列软件公司 NSO Group 开发)大受欢迎,成为骇入 iPhone 手机的必备利器。
随着“Zero-click”攻击手法出现,让 iPhone 使用族群人心惶惶。虽然仍没有防范“Zero-click”攻击的特效药,但 Hubbard 也分享自我保护之道。除了定期更新 iOS 系统,使用者最好尽可能限制重要资料不留在手机,例如敏感讯息或重要联络人等。再者,他会透过 Signal 通讯软件与人沟通,因开源 Signal 会对所有通讯内容采点对点加密,远比时下其他通讯软件更安全。使用者最好三不五时重新启动 iPhone,才可将常驻系统的间谍软件暂时踢掉。
- IPHONES CAN APPARENTLY NOW BE HACKED JUST BY TEXTING THEM
(首图来源:苹果)
