上周末,一個國際新聞機構聯盟報道稱包括墨西哥、摩洛哥和阿拉伯聯合酋長國在內的幾個專制政府利用 NSO 集團開發的間諜軟件,成功入侵了數千名包括評論家、記者、活動家、政治家和商業主管在內、比較有影響力的人物。
Image Credits: TechCrunch / PhotoMosh
總部位於巴黎的非營利性新聞機構 Forbidden Stories 和位於英國倫敦、致力於推動全球人權事業發展的國際特赦組織(Amnesty International)近日獲得並向《華盛頓郵報》、《衛報》在內的大型媒體分享了一份清單。清單上詳細記錄了這些政府監控的 5 萬個潛在監控目標的電話號碼和相關信息。
研究人員分析了幾十名受害者的手機,確認他們是 NSO PegASUS 的監控目標,該軟件可以訪問一個人手機上的所有數據。這些報告還證實了政府客戶本身的新細節,NSO 集團對這些細節嚴加防範。匈牙利是歐盟成員國,其 5 億居民的隱私被認為是一項基本權利,它被列為 NSO 的客戶。
在此前的報道中,已知的受害者數量相對來說要少很多,只有數百或者 1 千左右。該報告首次顯示了有多少人可能是 NSO 的侵入性設備級監控的目標。
對此,NSO 集團強硬地否認了這種說法。NSO 長期以來一直表示,它不知道其客戶的目標是誰,周一它在給 TechCrunch 的一份聲明中重申了這一點。
國際特赦組織的研究人員(其工作由多倫多大學公民實驗室審查)發現,NSO 可以通過向受害者發送一個鏈接,打開后感染手機,或者利用 iPhone 系統漏洞實現“零點擊”入侵,無聲無息地提供 Pegasus。公民實驗室研究員比爾·馬爾扎克在一條推文中說,NSO 的零點擊在 iOS 14.6 系統上運行,直到今天這還是最新的版本。
為了幫助用戶確認自己的手機是否遭到了 Pegasus 的監聽,國際特赦組織的研究人員開發了一款名為 Mobile Verification Toolkit(MVT)的工具,目前適用於 Android 和 iOS 平台。國際特赦組織表示由於在 iPhone 上的痕迹要比 Android 平台要更多更明顯,因此在 iPhone 上更容易檢測。
MVT將讓你採取整個iPhone備份(如果你越獄,則採取完整的系統轉儲),並反饋任何已知的被NSO用來傳遞Pegasus的妥協指標(IOC),如NSO基礎設施中使用的域名,這些域名可能通過短信或電子郵件發送。如果你有一個加密的iPhone備份,你也可以使用MVT來解密你的備份,而不需要做一個全新的副本。
該工具包在命令行上工作,所以它不是一個精緻和拋光的用戶體驗,需要一些基本的知識,如何瀏覽終端。我們讓它在大約10分鐘內工作,加上創建一個新的iPhone備份的時間,如果你想檢查到一小時,你會想這麼做。為了讓工具包準備好掃描你的手機,尋找飛馬的跡象,你需要輸入大赦國際的IOCs,它在GitHub頁面上有。任何時候,妥協的指標文件更新,下載並使用最新的副本。
一旦你啟動了這個程序,該工具包就會掃描你的iPhone備份文件,尋找任何妥協的證據。這個過程大約需要一兩分鐘的時間來運行,並在一個文件夾中吐出幾個文件的掃描結果。如果工具包發現了可能的妥協,它將在輸出的文件中這樣說。在我們的案例中,我們得到了一個 “檢測”,結果是一個假陽性,在我們與大赦國際的研究人員核實后,已經從IOC中刪除。使用更新的IOCs進行新的掃描,沒有發現入侵的跡象。