間諜軟體「飛馬」只要知道你的手機號碼就能攻擊！超過5萬政要、記者、律師手機被監控

iPhone又被揭露有安全隱患。只要發送釣魚連結，不論你點不點，你的訊息都可以被竊取，甚至連麥克風、Webcam都能被控制！

蘋果官方表示：目前這個漏洞無法修復，但問題不大。

而這一切都源於一個間諜軟體——Pegasus。

難道又是什麼駭客組織興風作浪？

還真的不是，它的「幕後主使」居然是一家以色列的合法公司——NSO Group。

10年來他們靠著售賣間諜軟體監控隱私，生意做的是風生水起，客戶涉及各國軍方組織、執法單位和情報部門。

不過最近他們遭殃了。

因為17家國際媒體揭露，NSO正在利用手機漏洞秘密監控各國政要、記者和律師等。

這也是為什麼蘋果會說漏洞問題不大的主要原因。

因為這種間諜軟體的攻擊非常複雜、成本也高達數百萬美元，一般都只是針對特定人士，普通人受到攻擊的可能性很低。

比如這次，首當其衝的就是法國總統馬克洪、伊拉克總統和南非總統在內的13位國家領袖。

據報導，目前全球潛在被監控的設備已經超過5萬台，涉及亞塞拜然、巴林、匈牙利、印度、哈薩克、摩洛哥等34個國家，僅在墨西哥，就有1.5萬部左右的手機被監控。

600多位政界人士可能被監控

原本，Pegasus是由以色列NSO Group所開發的一款軍用等級的間諜軟體，被用於監控、追蹤罪犯和恐怖分子。

他們打出了「促進全球安全和穩定」的口號。

但是《華盛頓郵報》、《衛報》、《泰晤士報》在內的17家國際媒體聯合調查後表明，事實可能並非如此。

他們披露出一份約有5萬個電話號碼的監控名單，這其中包括34國家的600多名政府官員和政界人士的電話號碼。

調查機構用名單中涉及的67台設備做驗證後，發現其中23部電話被成功入侵，14部有入侵跡象。

此外他們還發現，這份監控名單中涉及了大約20個國家的新聞記者及其親友，此前死於離奇暗殺的沙烏地阿拉伯記者卡舒吉的未婚妻及同事，都出現在了這份名單上。

從7月19日開始，各大國際媒體紛紛報導此事，在社會上引起了極大轟動。

但對於以上的所有指控，NSO Group全盤否認。

它們在一份聲明中強調，Pegasus只售賣給國家軍方、執法、情報部門，並表示Pegasus和卡舒吉被殺案件沒有關係。

還表示這份名單也不是來自於他們的資料庫，其CEO稱他們沒有伺服器可以竊取到這些資料。

與此同時，傳言為NSO客戶的印度政府、匈牙利政府和摩洛哥政府都表示和NSO沒有任何關係。

不過這樣的回應顯然沒有什麼人買帳。

蘋果官方表示會不遺餘力地保護所有使用者，不斷為他們的設備和數據，加入新的保護。

Facebook則大力呼籲蘋果合作，一起對抗間諜軟體。

亞馬遜也宣布關閉與NSO Group相關的網路基礎設施及其帳戶。

話說回來，Pegasus到底是怎樣攻破這麼多手機的呢？

首先要知道的是，幾乎所有設備都容易被它攻擊。

不只是iOS系統，Android也同樣存在風險。

它可以監控使用者的通話、訊息、錄音、錄影、定位，甚至連你見過什麼人它都可以知道。

最早，它是以釣魚連結的方式來入侵手機，透過發送大量垃圾簡訊，在其中附帶一條惡意連結，只要使用者點擊就會中招。

但是現在它已經升級了，即使使用者什麼都不點也能完成入侵，這也稱為零點擊漏洞。

它可以透過iOS中的JavaScriptCore Binary (jsc)漏洞執行程式碼，偽裝成iOS系統服務。

iMessage 、FaceTime、Apple Music應用程式中都有這樣的漏洞。

因此，NSO的客戶只需要向他們提供目標的電話號碼，就能讓Pegasus透過網路注入完成攻擊；即便有時網路注入不成功，也能在幾分鐘內完成手動安裝。

以這樣的方式，NSO Group 10年來獲得巨大的收入，在全球40多個國家，擁有60多個政府機構客戶。

據了解，在2016年他們已經的報價已經是監視10個使用者索要115萬美元的價格。

早在2016年《紐約時報》就披露，Pegasus會被用於追蹤記者和一些活動人士。

其內部人士透露，雖然NSO Group特意組成了一個道德委員會篩選客戶的資格，但是據他們所知NSO還沒拒絕過哪位客戶。

而且Pegasus一經出售，客戶就可以隨意使用。

所以真的是讓世界更加安全嗎？

對於這一次的曝光事件，BBC記者Joe Tidy表示，NSO的聲譽可能受損，但是它的生意可未必會受影響。

BBC還表示，之後可能會從被曝名單中披露出更多公眾人物的名字。

資料來源：