以色列間諜軟件公司 NSO 集團銷售的 Pegasus 間諜軟件據稱可以追蹤位置和訪問密碼。

這個間諜軟件已經被使用瞭將近一年的時間，利用瞭 iPhone 在 iOS 14 更新前的一個明顯漏洞，配備瞭一種計算機安全超級武器，零足跡、零點擊、零日漏洞，利用 iMessage 中的一個漏洞，隻需按下一個按鈕，就能控制一部 iPhone。

間諜軟件可跟蹤用戶位置、訪問密碼，還不會留下任何痕跡

Pegasus 不會在目標手機上留下任何可見的痕跡，隻需發送一條受害者根本不需要點擊的信息就可以安裝，甚至可以在運行當時最新版本的 iOS 的手機上運行。

多倫多大學公民實驗室的研究人員說，他們發現瞭所謂的黑客工具，被稱為“ Kismet”。如果 Kismet 可以被認為是用來繞過 iPhone 的安全性的特洛伊木馬，那麼 NSO 集團銷售的另一個被稱為 Pegasus 的軟件就是內部的士兵。根據研究人員的說法，Pegasus 有著驚人的強大功能。

Pegasus 間諜軟件有能力跟蹤位置、訪問密碼和存儲手機上的證書，通過麥克風記錄音頻，包括加密電話的錄音，它還能控制手機的攝像頭拍照。

公民實驗室表示，他們已經發現瞭 37 個已知的 Kismet 被 NSO 客戶用來攻擊的例子。但研究人員表示，“鑒於 NSO 集團客戶群的全球影響力，以及幾乎所有 iPhone 設備在 iOS 14 升級之前都有明顯的漏洞。我們懷疑，我們觀察到的感染隻是此次攻擊所使用的全部攻擊中的極小一部分。”

NSO 稱從未收集個人信息

NSO 集團成立於 2010 年，一直在研究間諜軟件技術，據稱其 Pegasus 間諜軟件非常受歡迎，但收費也很高，僅安裝費就需要 50 萬美元。

去年 5 月該公司被指控入侵瞭 WhatsApp 用戶的手機，收集瞭個人位置、消息、圖片等數據。但 NSO 集團方面回應稱，其產品不會收集個人信息，也不會訪問用戶在雲中存儲的任何數據。

NSO 集團表示，其產品用於“打擊嚴重的有組織犯罪和反恐”，任何嚴重違反其政策的證據都將受到調查。該集團還在聲明中表示：“正如我們反復聲明的那樣，我們無法獲得任何有關我們的系統用於監控的個人身份的信息。”

蘋果呼籲客戶下載最新版本軟件，以保護個人數據安全

在一份聲明中，一位蘋果發言人說: “在蘋果，我們的團隊不知疲倦地工作，以加強我們用戶數據和設備的安全。iOS 14在安全方面是一個重大的飛躍，並提供瞭新的防禦這類攻擊的保護措施。研究中描述的攻擊是針對特定個人的高度攻擊目標。我們一直呼籲客戶下載最新版本的軟件，以保護自己和他們的數據。”

盡管第一次聲稱使用 Kismet 的攻擊發生在今年夏天，但公民實驗室聲稱，來自遭到入侵的手機的日志表明，早在 2019 年 10 月，就有人使用瞭相關的零點擊零日漏洞技術。

蘋果公司稱無法獨立核實的公民實驗室的指控暗示。2019 年 2 月，一項針對 iOS 用戶的嚴重黑客行為被發現。谷歌工程師發現並在去年 8 月披露瞭這一漏洞，它利用 iPhone 訪問網站時的一個安全漏洞，實時竊取 iMessages、照片和 GPS 定位等私人數據。在一份公開聲明中，蘋果試圖淡化這一攻擊，稱這一漏洞隻影響瞭不到 12 個專註於某個民族的社區相關內容的網站。

現在，蘋果對 Kismet 提出瞭類似的觀點，指出 NSO 集團的客戶是民族或者國傢，其目標是數量有限的個人。

蘋果公司一直試圖將隱私和安全作為其設備的主要賣點，並稱從未因商業目的收集用戶數據，還強調在 iPhone 的歷史上從未有過任何廣泛傳播的惡意軟件。2014 年，蘋果首席執行官 Tim Cook 還曾在全球開發者大會上指出，Android “主導”瞭移動惡意軟件市場，稱其為“可怕的漏洞”。

但近年來，蘋果與其競爭對手之間的差距已經在逐漸縮小，隨著越來越多的安全研究人員關註移動設備，蘋果的各平臺也被發現瞭很多漏洞。

此前，谷歌研究員 Ian Beer 披露瞭一個iOS 漏洞，這個漏洞可以使設備在 Wi-Fi 范圍完全控制 iPhone。蘋果已經在 iOS 13.5 中修復瞭這個漏洞。

技術編輯：芒果果 | 發自：思否編輯部