國際特赦組織日前發表法證報告,指證實以色列網絡科技公司 NSO Group 所開發的間諜軟件「 Pegasus 」,能夠入侵安裝了 iOS 14.6 的 iPhone 12 手機。雖然 Apple 已經於昨日推出 iOS 14.7 ,但至今仍未發表更新保安內容,未知這更新能否有效防止這軟件入侵。
日前美國華盛頓郵報發表一份由世界 16 間媒媒體、國際特赦組織、法國非牟利團體 Forbidden Stories 合作,針對 NDO Group 和「 Pegasus 」的調查報告「 Pegasus Project 」,指出全球不少記者、人權分子和企業高層的智能電話都被不法安裝了「 Pegasus 」軟件,包括 CNN 、美聯社、美國之音、紐約時報、華爾街日報、彭博新聞、世界報、金融時報和半島電視台的記者。
眾矢之的的 NSO Group 就對「 Pegasus Project 」發表聲明,指報告「充滿了錯誤的假設和未經證實的理論,使人對消息來源的可靠性和利益產生嚴重懷疑」。
而在「 Pegasus 」法證報告方面,雖然報告主要針對軟件對 iOS 的攻擊,不過國際特赦組織表明這並非比較 iOS 與 Android 的安全,而是 iOS 裝置上能獲得的法證痕跡明顯較 Android 手機多而已。
據報「 Pegasus 」用來入侵 iOS/iPadOS 14.6 的漏洞是出自 iMessage ,這個漏洞是個即使用戶沒有點擊也能啟動的「零點擊」攻擊。
國際特赦組織的報告介紹 NSO Group 自 2014 年 7 月以來 7 年間的營運手法,指每當 Apple 修補了他們利用的漏洞,就轉用其他漏洞來進行攻擊,一直維持至今。
Apple 保安工程和技術的負責人 Ivan Krstić 接受華盛頓郵報訪問指 Apple 10 年來憑著保安的創新而領導業界,保安研究人員都同意 iPhone 是市場上最安全的消費者流動裝置。他指有關的攻擊非常精密,要花費數以百萬美元來開發,而且通常只針對特定人士來使用,所以對絕大多數用戶來說不會構成威脅。他說明 Apple 將會一直為保護所有顧客而努力,持續為他們的裝置和數據增加新的保護。
國際特赦組織為這次報告開發了一個用來檢測「 Pegasus 」的程式「 Mobile Verification Toolkit (MVT) 」,放到開源程式庫 GitHub 供公眾下載使用。它可以用來分析 iOS 系統、應用程式資料庫和系統紀錄、透過 adb 協定抽出 Android 裝置診斷資料等。不過由於 MVT 是工具列程式,需要有一定知識才能應用得到。
下載「 Mobile Verification Toolkit 」:按此
無論如何, iOS 的更新還是最有效維護手機安全的方法,無論 iOS 14.7 有沒有修補所有漏洞,大家都應該及早安裝。