超强间谍软件敲响手机数据安全警钟
2016年8月26日
(德国之声中文网)其实自从三年前斯诺登曝光了美国国家安全局(NSA)的监控丑闻之后,人们就已经知道,所有的通讯渠道都处于监控之下。不过与漏洞无处不在的个人电脑相比,人们以为至少现代的智能手机还是相对安全的,因为厂商提供了严格的安全预防措施。比如苹果公司就是标榜个人数据保护和用户的信任作为其智能手机iPhone的营销口号。然而刚刚被发现的一款间谍软件却具有前所未有的入侵能力,让人们对iPhone安全性能的信任打上了问号。
因为面对被专家们命名"Pegasus"的这一间谍软件,不管是iPhone的指纹辨识系统,还是手机SIM卡上数据库里的安全装置,全都不堪一击。这个软件利用了苹果软件中三个此前不为人所知的漏洞,这三个漏洞分别藏在Safari网页浏览器和iOS系统内核里。
据美联社报道,一位名叫曼苏尔(Ahmed Mansoor)的人权律师披露,自己曾收到带有链接的短信,其中声称点击链接就可以看到阿联酋监狱中虐待囚犯的内幕。而一家名为Citizen Lab的网络监管组织指出,如果iPhone用户点击了这个链接,他的手机就会自动安装上这个间谍软件。该软件利用上述的这三个安全漏洞,就会把苹果手机变成一部远程监控设备,可以窥探使用者的言语行踪。
在经过了十天的开发之后,苹果公司对其运行系统进行了更新,填补了这些漏洞。--这样的速度在这个行业来说的确是很快的。然而,不安的种子已经埋下。因为如今我们整个生活中越来越多的数据都转移到了手机上:私密的通讯联系、照片、银行帐户信息、健康数据等等。
而现代智能手机系统是数以百万计的软件编码汇合而成的一个极为复杂的整体,谁知道那里面还藏有多少安全漏洞呢?还有多少漏洞也在以类似的方式被利用?
信息安全技术公司Lookout对这次曝光的间谍软件进行了深入的研究发现,从三年前苹果发布的iOS7到所有比它更新的版本,全部都可以成为"Pegasus"的攻击对象。这个间谍软件可以监听录制电话通话,可以跟踪使用者的行踪地点,还可以偷窥手机通讯录,阅读电子邮件,查看Facebook用户数据,以及各种社交软件如WhatsApp、Skype以及中国用户最常用的微信上的数据。Lookout公司的研究负责人穆瑞(Mike Murray)表示,如此专业且完善的攻击行动到目前为止还非常少见。
专家猜测,"Pegasus"软件幕后的操纵者可能是来自以色列的NSO集团,它的所有者是一位美国金融投资商。该公司并未透露软件的开发者是谁,仅仅对《纽约时报》(New York Times)和网络媒体"Vice"表态称,这款软件仅仅出售给政府机构,而且不会卖给那些受到出口限制的国家。
其实在斯诺登解密事件之后,或者更早,情报机构利用未知的运行系统漏洞来破解通讯工具,就已经是常用的手段。而"Pegasus"的问世则提供了独一无二的机会,去购买具有这样功能的软件。
与此同时,软件安全漏洞已经成为商业交易的对象,而且可以带来巨额的金钱收入。几个月前,一家公司因为发现了iPhone手机里的一个"零日"漏洞(Zero-Day),就报价100万美元出售这一此前不为苹果公司所知的发现。
原本对于这种交易采取抵制态度的苹果公司,几周前也放下了身段,愿意为发现运行系统安全漏洞者支付最高达5万美元的酬金。
美国情报机构国家安全局(NSA)就在有目的地寻找类似的"零日"漏洞,尽管美国有一个政府机构专门负责定期作出裁决,要不要本着维护公众利益的考虑,将相关的漏洞发现知会运营商。因为专家一再警告,这些漏洞既然可以被情报机构所用,那么也是有可能被犯罪分子发现的。
广大用户该做什么?
那么作为普通消费者的iPhone用户,现在是否需要对自己的数据安全怀有忧虑?应该做些什么去保护自己的隐私安全呢?《南德意志报》在线版(sueddeutsche.de)告诉读者,苹果手机用户现在需要做的就是更新自己的运行系统。
如上文所述,从iOS7到9.3.4之间的版本全都有可能遭到这一间谍软件的攻击,所以苹果公司建议用户立即更新至最新的iOS9.3.5版本系统。最新系统已经将可能被Pegasus所利用的三个安全漏洞全部打了补丁,消除了这方面的安全隐患。操作起来很简便,只需进入“设置>通用>软件更新”即可升级至最新版本,整个过程用不了几分钟,但前提是手机电池必须有至少50%的电量,而且需要接通电源才可以,当然最好是在有无线网的情况下进行更新啦!
不过,帮助苹果进行这次系统安全升级,对Pegasus软件进行了深入研究的Lookout公司也承认,由于这款软件主要是用于对某些特定人群进行监控,所以普通老百姓受到威胁的几率并不是很大。
使用我们的App,阅读文章更方便!给yingyong@dingyue.info发送一封空白电子邮件就能得到软件和相关信息!
阅读每日时事通讯,天下大事一览无余!给xinwen@dingyue.info发送一封空白电子邮件就能完成订阅!