用 iPhone 的小伙伴，昨天早晨大多會(huì)收到一個(gè)系統(tǒng)升級(jí)信息。

蘋果突然對(duì)旗下多個(gè)平臺(tái)的操作系統(tǒng)進(jìn)行了一次版本更新，覆蓋 iOS、macOS 和 watchOS。

距離上一個(gè)大版本 iOS 14.7 不到兩個(gè)月，本周的蘋果發(fā)布會(huì)不到兩天，此時(shí)放出系統(tǒng)更新不免讓人感覺(jué)有些奇怪——iOS 14.8 沒(méi)有新功能，該緊急更新包含兩個(gè)安全補(bǔ)丁，只為修復(fù)一個(gè)漏洞。Citizen Lab 的安全研究人員表示，該漏洞很可能被人利用，將間諜軟件安裝到人們的手機(jī)中。

研究人員表示，該漏洞可以在「零點(diǎn)擊」即用戶毫不知情的情況下安裝間諜軟件 Pegasus，此種軟件可以用于竊取數(shù)據(jù)、密碼、直接激活手機(jī)上的麥克風(fēng)和相機(jī)。

「這個(gè)間諜軟件可以做機(jī)主對(duì) iPhone 做的任何事，甚至還能做更多?！笴itizen Lab 高級(jí)研究員 Bill Marczak 說(shuō)道。當(dāng)前，全球有超過(guò) 16.5 億臺(tái)蘋果設(shè)備存在這樣的風(fēng)險(xiǎn)。

今年 7 月，包括《華盛頓郵報(bào)》、《世界報(bào)》和《衛(wèi)報(bào)》等大量新聞媒體集中報(bào)道了 Pegasus 計(jì)劃，據(jù)稱這是一款由私人承包商開(kāi)發(fā)的間諜軟件，其感染的手機(jī)將發(fā)回?cái)?shù)據(jù)，包括照片、消息和音頻 / 視頻記錄。Pegasus 的開(kāi)發(fā)商、一家名為 NSO Group 的以色列公司表示，該軟件無(wú)法追溯到使用它的政府——這是秘密行動(dòng)的關(guān)鍵。

[[423952]]

國(guó)際特赦組織曾對(duì) 67 部智能手機(jī)進(jìn)行了詳細(xì)的取證，以尋找證明它們成為 Pegasus 間諜軟件目標(biāo)的證據(jù)——其中 37 部手機(jī)檢測(cè)呈陽(yáng)性，其中 23 部手機(jī)已確認(rèn)被入侵。但有關(guān)該軟件的許多關(guān)鍵細(xì)節(jié)我們?nèi)圆磺宄?/p>

衛(wèi)報(bào)稱，Pegasus 項(xiàng)目核心泄露的數(shù)據(jù)庫(kù)包括法國(guó)總統(tǒng)馬克龍和其他 13 位國(guó)家元首和政府高官的手機(jī)號(hào)碼。

[[423953]]

數(shù)據(jù)庫(kù)中出現(xiàn)的信息涉及巴基斯坦總理、烏干達(dá)前總理、法國(guó)總統(tǒng)和南非總統(tǒng)。

Pegasus 經(jīng)常被媒體與沙特記者賈麥勒 · 卡舒吉聯(lián)系在一起，據(jù)稱沙特使用此間諜軟件鎖定了他的位置。紐約時(shí)報(bào)稱，NSO 收取 50 萬(wàn)美元為客戶設(shè)置 Pegasus 系統(tǒng)，然后收取額外費(fèi)用以實(shí)際破解人們的手機(jī)。據(jù)報(bào)道，入侵 10 臺(tái) iPhone 或安卓手機(jī)的成本為 65 萬(wàn)美元，而破解 5 個(gè)黑莓用戶的成本為 50 萬(wàn)美元。然后，客戶可以支付更多費(fèi)用來(lái)瞄準(zhǔn)更多用戶，價(jià)格也會(huì)有折扣：額外 100 部電話 80 萬(wàn)美元，額外 50 部電話 50 萬(wàn)美元。

根據(jù) Forbidden Stories 的說(shuō)法，僅 NSO 與沙特阿拉伯的合同價(jià)值就高達(dá) 5500 萬(wàn)美元。

鑒于漏洞的嚴(yán)重性，蘋果用戶應(yīng)該盡快更新到 iOS 14.8、macOS Big Sur 11.6 和 watchOS 7.6.2。

Pegasus 能夠攻破最新版本的蘋果和安卓系統(tǒng)，而且攻擊方式也從引導(dǎo)用戶點(diǎn)擊鏈接，逐漸發(fā)展到了直接發(fā)送鏈接讓手機(jī)在不知情的情況下被感染。

蘋果的開(kāi)發(fā)團(tuán)隊(duì)表示他們?cè)?8 月份聽(tīng)說(shuō)了新漏洞，當(dāng)時(shí) Citizen Lab 報(bào)告稱 Pegasus 成功攻擊了 iOS 14.6(5 月發(fā)布)的 iPhone。Citizen Lab 還表示，這個(gè)代號(hào)為「ForcedEntry」的安全漏洞似乎與 7 月國(guó)際特赦組織(Amnesty International)審查的一些系統(tǒng)攻擊行為類似。當(dāng)時(shí)，安全研究人員寫道，這是由蘋果 CoreGraphics 系統(tǒng)中的一個(gè)錯(cuò)誤導(dǎo)致的，并且發(fā)生在手機(jī)收到包含風(fēng)險(xiǎn)文件的短信后，嘗試使用與 GIF 相關(guān)的功能時(shí)。

運(yùn)行 iOS 14.6 的 iPhone 12 Pro Max 上的「ForcedEntry」漏洞。圖源：https://citizenlab.ca/2021/08/bahrain-hacks-activists-with-nso-group-zero-click-iphone-exploits/

實(shí)際上，早在今年 3 月，Citizen Lab 就檢查了一位不愿透露姓名的沙特活動(dòng)人士的手機(jī)，確認(rèn)了其已被 NSO Group 的 Pegasus 間諜軟件入侵。在分析過(guò)程中，Citizen Lab 獲取了該設(shè)備的 iTunes 備份。

最近 Citizen Lab 對(duì)重新分析了備份文件 Library/SMS/Attachments，發(fā)現(xiàn)其中產(chǎn)生了幾個(gè)帶有「.gif」擴(kuò)展名的文件，Citizen Lab 已確定這些文件是在被 NSO Group 的 Pegasus 間諜軟件入侵之前剛剛發(fā)送到該手機(jī)上的。

在該手機(jī)上發(fā)現(xiàn)的 GIF 文件。

Citizen Lab 的研究人員進(jìn)一步分析發(fā)現(xiàn)：

• 同一個(gè)擴(kuò)展名為「.gif」的文件具有 27 個(gè)副本，并且雖然擴(kuò)展名是「.gif」，但該文件實(shí)際上是一個(gè) 748 字節(jié)的 Adobe PSD 文件。該文件的每個(gè)副本都會(huì)導(dǎo)致設(shè)備上的 IMTranscoderAgent 崩潰。其中大多數(shù)文件的文件名看起來(lái)是隨機(jī)生成的十個(gè)字符。
• 另外，其中 4 個(gè)帶有「.gif」擴(kuò)展名的文件實(shí)際上是包含 JBIG2 - 編碼流的 Adobe PDF 文件，2 個(gè)文件有 34 個(gè)字符的名稱，2 個(gè)文件有 97 個(gè)字符的名稱。

pdfid 工具在這 4 個(gè)「.gif」文件上的輸出是：

PDF Comment '%PDF-1.3\n\n' 
 
obj 1 0 
 
Type: /XRef 
 
Referencing: 
 
Contains stream 
 
<< /Type /XRef /Size 9 /W [1 3 1] /Length ... /Filter [/FlateDecode /FlateDecode /JBIG2Decode] /DecodeParms >> 
 
trailer 
 
<< /Size 2 >> 
 
startxref 10 
 
PDF Comment '%%EOF\n' 

Citizen Lab 在完成這些分析之后，于 9 月 7 日將該問(wèn)題提交給 Apple，蘋果于 9 月 13 日迅速發(fā)布了 iOS 14.8。蘋果的更新說(shuō)明問(wèn)題發(fā)生在處理惡意制作的 PDF 時(shí)，同時(shí)蘋果在聲明中感謝 Citizen Lab 完成了獲取該漏洞樣本的重要工作。

本次更新還修復(fù)了適用于 iOS 和 macOS Big Sur 的 WebKit 的一個(gè)安全問(wèn)題。它不是 Citizen Lab 發(fā)現(xiàn)的，而是由匿名研究人員發(fā)現(xiàn)的，并且與「ForcedEntry」漏洞位于系統(tǒng)的不同部分，但蘋果表示該漏洞同樣值得注意。

盡管時(shí)而有人吐槽「反向升級(jí)」，但保持設(shè)備系統(tǒng)的最新?tīng)顟B(tài)顯然是一件利大于弊的事。對(duì)于蘋果用戶來(lái)說(shuō)，在 9 月 14 日發(fā)布會(huì)前一天讓 iOS 14 版本獲得安全補(bǔ)丁的操作，讓修復(fù)內(nèi)容覆蓋了更多設(shè)備。目前看來(lái)，所有人都需要盡快更新設(shè)備。

參考內(nèi)容：

• https://www.theverge.com/2021/9/13/22672352/apple-spyware-gateway-iphone-software-update-nso-pegasus
• https://www.nytimes.com/2021/09/13/technology/apple-software-update-spyware-nso-group.html
• https://citizenlab.ca/2021/09/forcedentry-nso-group-imessage-zero-click-exploit-captured-in-the-wild/

【本文是51CTO專欄機(jī)構(gòu)“機(jī)器之心”的原創(chuàng)譯文，微信公眾號(hào)“機(jī)器之心( id: almosthuman2014)”】 

戳這里，看該作者更多好文