原創(chuàng) 黃青春 虎嗅APP

出品｜虎嗅機(jī)動(dòng)資訊組

作者｜黃青春

資料整理 | 張樂(lè)寧

題圖 | 視覺(jué)中國(guó)

蘋(píng)果又一次因?yàn)殡[私安全問(wèn)題被“錘”了。

近日，Amnesty International（國(guó)際特赦組織）發(fā)布報(bào)告稱(chēng)，蘋(píng)果iPhone存在重大安全漏洞，不需要手機(jī)用戶(hù)點(diǎn)擊鏈接，“飛馬”（Pegasus）便能竊取用戶(hù)敏感數(shù)據(jù)。

一時(shí)間，輿論嘩然，不少外媒言辭激烈控訴蘋(píng)果，并要求其就該安全漏洞給出解決辦法。

“飛馬”入侵，蘋(píng)果變監(jiān)控器

蘋(píng)果手機(jī)這次暴露的安全漏洞，究竟有多嚴(yán)重呢？

7月18日，Amnesty International在一份報(bào)告中指出，iPhone一旦感染NSO Group的“飛馬”惡意軟件，其便能夠自主完成收集電子郵件、通話(huà)記錄、社交媒體帖子、用戶(hù)密碼、聯(lián)系人列表、圖片、視頻、錄音和瀏覽歷史記錄等一系列操作。

除此之外，“飛馬”還能輕松激活蘋(píng)果手機(jī)的攝像頭或麥克風(fēng)，以此來(lái)實(shí)時(shí)捕獲用戶(hù)的新圖像和錄音，并收聽(tīng)電話(huà)和語(yǔ)音郵件。甚至，利用“飛馬”可以準(zhǔn)確定位該用戶(hù)目前所處位置，并實(shí)時(shí)同步其處于靜止或移動(dòng)狀態(tài)——等于直接將蘋(píng)果手機(jī)變成了一部專(zhuān)業(yè)便攜式監(jiān)控設(shè)備。

一般而言，當(dāng)蘋(píng)果手機(jī)信息中出現(xiàn)未知鏈接或釣魚(yú)鏈接時(shí)，只要用戶(hù)不主動(dòng)點(diǎn)擊該鏈接就不會(huì)有問(wèn)題，但這次的“飛馬”軟件則不同，其被發(fā)送至目標(biāo)手機(jī)那一刻起，即便用戶(hù)不主動(dòng)點(diǎn)擊該鏈接，也會(huì)被“飛馬”控制。

Amnesty International經(jīng)過(guò)證實(shí)發(fā)現(xiàn)，“飛馬”可以成功入侵正在運(yùn)行IOS 14.6系統(tǒng)的iPhone 12——該組織的安全實(shí)驗(yàn)室與《華盛頓郵報(bào)》合作檢查了34部iPhone，其中23部被感染“飛馬”，11 部顯示出感染跡象，但并未感染。

而且，根據(jù)Amnesty International公開(kāi)的數(shù)據(jù)顯示，目前有超過(guò)50000個(gè)號(hào)碼在被“飛馬”監(jiān)視的列表中，而這份號(hào)碼名單由位于巴黎的非營(yíng)利組織Forbidden Stories 和Amnesty International共同保管。

可以確定的是，名單涵蓋了50多個(gè)國(guó)家的手機(jī)用戶(hù)。其中包括阿拉伯王室成員、65位企業(yè)高管、85位人權(quán)活動(dòng)家、189位記者以及600多名政治家和大量政府官員——包括各個(gè)國(guó)家的內(nèi)閣部長(zhǎng)、外交官、軍事和安全官員。

甚至，這份“飛馬”監(jiān)視的名單中還有幾位國(guó)家元首和總理——比如法國(guó)總統(tǒng)馬克龍、南非總統(tǒng)西里爾·拉馬福薩、世界衛(wèi)生組織總干事譚德塞等。

面對(duì)如此危急的形勢(shì)，蘋(píng)果方面一直拖到7月20日凌晨，才推出IOS 14.7系統(tǒng)。至于IOS 14.7系統(tǒng)是否能夠阻止“飛馬”的入侵，目前尚未可知。

問(wèn)題到底出在哪里？

大多數(shù)專(zhuān)家都認(rèn)為，蘋(píng)果手機(jī)被惡意軟件劫持的源頭在于——iMessage。

此前，蘋(píng)果曾創(chuàng)建過(guò)一個(gè)名為Blast Door 的功能，專(zhuān)門(mén)用以針對(duì)篩選可疑消息，并阻止其深入手機(jī)非法獲取隱私信息，但事實(shí)證明，這項(xiàng)功能并未能保證iPhone 用戶(hù)的隱私安全。

“近日肆虐的‘飛馬’軟件，無(wú)疑能通過(guò)iMessage入侵蘋(píng)果 iOS系統(tǒng)，很明顯，NSO 可以擊敗蘋(píng)果的抵御工具Blast Door?！倍鄠惗啻髮W(xué)網(wǎng)絡(luò)安全分析師研究員Bill Marczak對(duì)此強(qiáng)調(diào)稱(chēng)。

對(duì)此，Amnesty International安全專(zhuān)家表示，蘋(píng)果用戶(hù)如果想阻止手機(jī)被惡意軟件入侵，目前最有效的辦法是更新到蘋(píng)果IOS 14.7系統(tǒng)，但是設(shè)備制造商先要知道“漏洞所在”。

前美國(guó)國(guó)家安全局工作人員、Mac安全開(kāi)發(fā)商O(píng)bjective-See的創(chuàng)始人帕特里克·沃德?tīng)栐诮邮苡?guó)《衛(wèi)報(bào)》采訪時(shí)便指出：

“因?yàn)樘O(píng)果的不透明性，導(dǎo)致攻擊者一旦進(jìn)入內(nèi)部，他們就可以利用設(shè)備的安全性來(lái)攻擊用戶(hù)，并且研究人員很難檢查iPhone的內(nèi)部工作原理，（“飛馬”）很難被發(fā)現(xiàn)?！?/p>

沃德?tīng)栠€補(bǔ)充道：“蘋(píng)果吹捧的安全功能，其實(shí)也是一把雙刃劍——iMessage 通過(guò)端到端加密，這意味著沒(méi)有人會(huì)看到你的漏洞。從攻擊者的角度來(lái)看，也讓入侵變得簡(jiǎn)單?！?/p>為此，蘋(píng)果安全工程和架構(gòu)負(fù)責(zé)人 Ivan Krsti? 則為公司的安全工作辯護(hù)稱(chēng)：

“Apple 明確譴責(zé)針對(duì)記者、人權(quán)活動(dòng)家和其他尋求讓世界變得更美好的人的網(wǎng)絡(luò)攻擊。十多年來(lái)，Apple 在安全創(chuàng)新方面一直處于行業(yè)領(lǐng)先地位，因此，安全研究人員一致認(rèn)為 iPhone 是市場(chǎng)上最安全、最安全的消費(fèi)移動(dòng)設(shè)備?！?/p>

截止發(fā)稿，蘋(píng)果對(duì)“飛馬事件”的回應(yīng)也只有一份簡(jiǎn)單的聲明：

“像（飛馬）那樣的攻擊非常復(fù)雜，開(kāi)發(fā)成本數(shù)百萬(wàn)美元，通常保質(zhì)期很短，并且用于針對(duì)特定個(gè)人。雖然它們不會(huì)對(duì)我們的絕大多數(shù)用戶(hù)構(gòu)成威脅，但我們將繼續(xù)不知疲倦地保護(hù)所有客戶(hù)，并不斷為他們的設(shè)備和數(shù)據(jù)添加新的保護(hù)。”

蘋(píng)果隱私安全為何更容易引發(fā)關(guān)注？

值得注意的是，“飛馬”的制造商N(yùn)SO Group其實(shí)是一家以色列公司，它專(zhuān)門(mén)向政府機(jī)構(gòu)、執(zhí)法部門(mén)出售軟件，用來(lái)打擊恐怖主義、汽車(chē)爆炸、性交易及販毒行為。而“飛馬”遭受全民聲討時(shí)，NSO辯稱(chēng)創(chuàng)造“飛馬”的目的只是為了對(duì)恐怖分子的號(hào)碼、通話(huà)、信息等進(jìn)行監(jiān)視。

即便本次“飛馬”監(jiān)視的對(duì)象主要是各個(gè)國(guó)家的記者、社會(huì)活動(dòng)家及政府要員，但事件從7月18日發(fā)酵至今，引起了全球蘋(píng)果用戶(hù)的廣泛關(guān)注——連各國(guó)政要的蘋(píng)果賬戶(hù)都能輕松監(jiān)視，更何況普通人。

畢竟，在算法時(shí)代，每個(gè)用戶(hù)的出行路線(xiàn)、工作內(nèi)容、餐飲喜好、休閑娛樂(lè)，記錄了消費(fèi)和財(cái)富也記錄了情緒和欲望，我們?cè)缫盐锘蓾M(mǎn)身標(biāo)簽的綜合體。

所以在國(guó)外社交平臺(tái)Quora上，各國(guó)網(wǎng)友針對(duì)此次“飛馬事件”便展開(kāi)了激烈的討論。

比如，一位名叫克里斯·薩默斯的網(wǎng)友，其從事手機(jī)銷(xiāo)售&服務(wù)超過(guò)五年時(shí)間，他認(rèn)為：“雖然和安卓系統(tǒng)比起來(lái)，蘋(píng)果并不會(huì)經(jīng)常受到惡意軟件攻擊，但這次的事件說(shuō)明，NSO發(fā)現(xiàn)漏洞后，并沒(méi)有告知谷歌或蘋(píng)果，而是將其出售給政府來(lái)監(jiān)視公民。”

另一位名叫克萊因的網(wǎng)友則認(rèn)為：

“‘iPhone無(wú)法被黑客攻擊’原本就是一個(gè)廣告，只是為了銷(xiāo)售手機(jī)的噱頭，而蘋(píng)果手機(jī)之所以很少被入侵，主要因?yàn)槠溆脩?hù)只有安卓手機(jī)的三分之一。更大的市場(chǎng)份額自然更容易成為目標(biāo)，所以更多黑客選擇攻擊安卓系統(tǒng)?！?/p>其實(shí)，人們更關(guān)注蘋(píng)果的安全問(wèn)題確實(shí)與其一向以來(lái)標(biāo)榜注重用戶(hù)“隱私安全”脫不了干系。

早在2015年， iOS 9 發(fā)布時(shí)，蘋(píng)果便展示了追蹤新聞等應(yīng)用程序的方式，當(dāng)用戶(hù)設(shè)定屏蔽后，一些第三方軟件便無(wú)法獲取用戶(hù)數(shù)據(jù)，向用戶(hù)發(fā)布更有個(gè)性化推薦的廣告。

2016年，蘋(píng)果發(fā)布iOS10，加入“限制廣告追蹤”功能，只要用戶(hù)打開(kāi)這個(gè)功能，就可以徹底重置IDFA(廣告標(biāo)識(shí)符)。

2016 年初，聯(lián)邦調(diào)查局希望蘋(píng)果開(kāi)發(fā)一款軟件用以解鎖一部嫌疑人的iPhone，以輔助案情偵破。雖然蘋(píng)果幫助FBI 從疑犯 iCloud 賬戶(hù)中提取了部分?jǐn)?shù)據(jù)，但由于不知道手機(jī)密碼，有些數(shù)據(jù)聯(lián)邦調(diào)查局仍無(wú)法完全獲取。

2016年2月16日，美國(guó)治安法官Sheri Pym命令蘋(píng)果為FBI開(kāi)發(fā)后門(mén)軟件，但該命令遭到蘋(píng)果拒絕。蘋(píng)果CEO庫(kù)克認(rèn)為，該項(xiàng)命令會(huì)威脅到所有iPhone用戶(hù)的安全，并表示，“繞過(guò)iPhone密碼意味著在其iOS系統(tǒng)中創(chuàng)建一個(gè)后門(mén)，而它也可被用來(lái)窺探所有其他 iPhone?！?/p>

在此之后，隨著越來(lái)越多類(lèi)似事例的發(fā)生，蘋(píng)果堅(jiān)決捍衛(wèi)用戶(hù)隱私安全的形象逐漸占據(jù)了消費(fèi)者心智。連蘋(píng)果CEO庫(kù)克也多次在公開(kāi)場(chǎng)合呼吁，“建立更全面的隱私法，捍衛(wèi)消費(fèi)者隱私權(quán)?！?/p>

2021年6月，蘋(píng)果還在WWDC2021(全球開(kāi)發(fā)者大會(huì))上公開(kāi)了iOS15在隱私保護(hù)上的革新，新推出“應(yīng)用程序隱私報(bào)告”功能，當(dāng)用戶(hù)選擇保存應(yīng)用活動(dòng)時(shí)，iOS 將產(chǎn)生一個(gè) JSON文件，用戶(hù)應(yīng)該對(duì)這個(gè)JSON 文件的內(nèi)容進(jìn)行查看審核，以確認(rèn)應(yīng)用程序的行為是否符合預(yù)期。

“你的應(yīng)用程序應(yīng)該只訪問(wèn)用戶(hù)期望的數(shù)據(jù)，并在他們期望的時(shí)間訪問(wèn)?！睅?kù)克在大會(huì)上這樣解釋。

然而，誰(shuí)也不曾想到，打臉來(lái)的如此之快——當(dāng)Amnesty International扔出那份“飛馬”監(jiān)視的50000個(gè)號(hào)碼名單時(shí)，人們才意識(shí)到蘋(píng)果的隱私安全保護(hù)，已不容樂(lè)觀。

毋庸置疑，從國(guó)家或者個(gè)人層面出發(fā)，企業(yè)能否保護(hù)好用戶(hù)隱私安全才是最重要的，而非一直被強(qiáng)化的隱私保護(hù)“品牌形象”。

如對(duì)本稿件有異議或投訴，請(qǐng)聯(lián)系tougao@huxiu.com

End

原標(biāo)題：《50000賬號(hào)被監(jiān)視，這次蘋(píng)果被“錘”與你息息相關(guān)》

閱讀原文