用 iPhone 的小伙伴，昨天早晨大多會收到一個系統(tǒng)升級信息。

蘋果突然對旗下多個平臺的操作系統(tǒng)進(jìn)行了一次版本更新，覆蓋 iOS、macOS 和 watchOS。

距離上一個大版本 iOS 14.7 不到兩個月，本周的蘋果發(fā)布會不到兩天，此時放出系統(tǒng)更新不免讓人感覺有些奇怪——iOS 14.8 沒有新功能，該緊急更新包含兩個安全補(bǔ)丁，只為修復(fù)一個漏洞。Citizen Lab 的安全研究人員表示，該漏洞很可能被人利用，將間諜軟件安裝到人們的手機(jī)中。

研究人員表示，該漏洞可以在「零點(diǎn)擊」即用戶毫不知情的情況下安裝間諜軟件 Pegasus，此種軟件可以用于竊取數(shù)據(jù)、密碼、直接激活手機(jī)上的麥克風(fēng)和相機(jī)。

「這個間諜軟件可以做機(jī)主對 iPhone 做的任何事，甚至還能做更多?！笴itizen Lab 高級研究員 Bill Marczak 說道。當(dāng)前，全球有超過 16.5 億臺蘋果設(shè)備存在這樣的風(fēng)險。

今年 7 月，包括《華盛頓郵報》、《世界報》和《衛(wèi)報》等大量新聞媒體集中報道了 Pegasus 計(jì)劃，據(jù)稱這是一款由私人承包商開發(fā)的間諜軟件，其感染的手機(jī)將發(fā)回數(shù)據(jù)，包括照片、消息和音頻 / 視頻記錄。Pegasus 的開發(fā)商、一家名為 NSO Group 的以色列公司表示，該軟件無法追溯到使用它的政府——這是秘密行動的關(guān)鍵。

[[423952]]

國際特赦組織曾對 67 部智能手機(jī)進(jìn)行了詳細(xì)的取證，以尋找證明它們成為 Pegasus 間諜軟件目標(biāo)的證據(jù)——其中 37 部手機(jī)檢測呈陽性，其中 23 部手機(jī)已確認(rèn)被入侵。但有關(guān)該軟件的許多關(guān)鍵細(xì)節(jié)我們?nèi)圆磺宄?/p>

衛(wèi)報稱，Pegasus 項(xiàng)目核心泄露的數(shù)據(jù)庫包括法國總統(tǒng)馬克龍和其他 13 位國家元首和政府高官的手機(jī)號碼。

[[423953]]

數(shù)據(jù)庫中出現(xiàn)的信息涉及巴基斯坦總理、烏干達(dá)前總理、法國總統(tǒng)和南非總統(tǒng)。

Pegasus 經(jīng)常被媒體與沙特記者賈麥勒 · 卡舒吉聯(lián)系在一起，據(jù)稱沙特使用此間諜軟件鎖定了他的位置。紐約時報稱，NSO 收取 50 萬美元為客戶設(shè)置 Pegasus 系統(tǒng)，然后收取額外費(fèi)用以實(shí)際破解人們的手機(jī)。據(jù)報道，入侵 10 臺 iPhone 或安卓手機(jī)的成本為 65 萬美元，而破解 5 個黑莓用戶的成本為 50 萬美元。然后，客戶可以支付更多費(fèi)用來瞄準(zhǔn)更多用戶，價格也會有折扣：額外 100 部電話 80 萬美元，額外 50 部電話 50 萬美元。

根據(jù) Forbidden Stories 的說法，僅 NSO 與沙特阿拉伯的合同價值就高達(dá) 5500 萬美元。

鑒于漏洞的嚴(yán)重性，蘋果用戶應(yīng)該盡快更新到 iOS 14.8、macOS Big Sur 11.6 和 watchOS 7.6.2。

Pegasus 能夠攻破最新版本的蘋果和安卓系統(tǒng)，而且攻擊方式也從引導(dǎo)用戶點(diǎn)擊鏈接，逐漸發(fā)展到了直接發(fā)送鏈接讓手機(jī)在不知情的情況下被感染。

蘋果的開發(fā)團(tuán)隊(duì)表示他們在 8 月份聽說了新漏洞，當(dāng)時 Citizen Lab 報告稱 Pegasus 成功攻擊了 iOS 14.6(5 月發(fā)布)的 iPhone。Citizen Lab 還表示，這個代號為「ForcedEntry」的安全漏洞似乎與 7 月國際特赦組織(Amnesty International)審查的一些系統(tǒng)攻擊行為類似。當(dāng)時，安全研究人員寫道，這是由蘋果 CoreGraphics 系統(tǒng)中的一個錯誤導(dǎo)致的，并且發(fā)生在手機(jī)收到包含風(fēng)險文件的短信后，嘗試使用與 GIF 相關(guān)的功能時。

運(yùn)行 iOS 14.6 的 iPhone 12 Pro Max 上的「ForcedEntry」漏洞。圖源：https://citizenlab.ca/2021/08/bahrain-hacks-activists-with-nso-group-zero-click-iphone-exploits/

實(shí)際上，早在今年 3 月，Citizen Lab 就檢查了一位不愿透露姓名的沙特活動人士的手機(jī)，確認(rèn)了其已被 NSO Group 的 Pegasus 間諜軟件入侵。在分析過程中，Citizen Lab 獲取了該設(shè)備的 iTunes 備份。

最近 Citizen Lab 對重新分析了備份文件 Library/SMS/Attachments，發(fā)現(xiàn)其中產(chǎn)生了幾個帶有「.gif」擴(kuò)展名的文件，Citizen Lab 已確定這些文件是在被 NSO Group 的 Pegasus 間諜軟件入侵之前剛剛發(fā)送到該手機(jī)上的。

在該手機(jī)上發(fā)現(xiàn)的 GIF 文件。

Citizen Lab 的研究人員進(jìn)一步分析發(fā)現(xiàn)：

• 同一個擴(kuò)展名為「.gif」的文件具有 27 個副本，并且雖然擴(kuò)展名是「.gif」，但該文件實(shí)際上是一個 748 字節(jié)的 Adobe PSD 文件。該文件的每個副本都會導(dǎo)致設(shè)備上的 IMTranscoderAgent 崩潰。其中大多數(shù)文件的文件名看起來是隨機(jī)生成的十個字符。
• 另外，其中 4 個帶有「.gif」擴(kuò)展名的文件實(shí)際上是包含 JBIG2 - 編碼流的 Adobe PDF 文件，2 個文件有 34 個字符的名稱，2 個文件有 97 個字符的名稱。

pdfid 工具在這 4 個「.gif」文件上的輸出是：

PDF Comment '%PDF-1.3\n\n' 
 
obj 1 0 
 
Type: /XRef 
 
Referencing: 
 
Contains stream 
 
<< /Type /XRef /Size 9 /W [1 3 1] /Length ... /Filter [/FlateDecode /FlateDecode /JBIG2Decode] /DecodeParms >> 
 
trailer 
 
<< /Size 2 >> 
 
startxref 10 
 
PDF Comment '%%EOF\n' 

Citizen Lab 在完成這些分析之后，于 9 月 7 日將該問題提交給 Apple，蘋果于 9 月 13 日迅速發(fā)布了 iOS 14.8。蘋果的更新說明問題發(fā)生在處理惡意制作的 PDF 時，同時蘋果在聲明中感謝 Citizen Lab 完成了獲取該漏洞樣本的重要工作。

本次更新還修復(fù)了適用于 iOS 和 macOS Big Sur 的 WebKit 的一個安全問題。它不是 Citizen Lab 發(fā)現(xiàn)的，而是由匿名研究人員發(fā)現(xiàn)的，并且與「ForcedEntry」漏洞位于系統(tǒng)的不同部分，但蘋果表示該漏洞同樣值得注意。

盡管時而有人吐槽「反向升級」，但保持設(shè)備系統(tǒng)的最新狀態(tài)顯然是一件利大于弊的事。對于蘋果用戶來說，在 9 月 14 日發(fā)布會前一天讓 iOS 14 版本獲得安全補(bǔ)丁的操作，讓修復(fù)內(nèi)容覆蓋了更多設(shè)備。目前看來，所有人都需要盡快更新設(shè)備。

參考內(nèi)容：

• https://www.theverge.com/2021/9/13/22672352/apple-spyware-gateway-iphone-software-update-nso-pegasus
• https://www.nytimes.com/2021/09/13/technology/apple-software-update-spyware-nso-group.html
• https://citizenlab.ca/2021/09/forcedentry-nso-group-imessage-zero-click-exploit-captured-in-the-wild/

【本文是51CTO專欄機(jī)構(gòu)“機(jī)器之心”的原創(chuàng)譯文，微信公眾號“機(jī)器之心( id: almosthuman2014)”】 

戳這里，看該作者更多好文