扫码打开虎嗅APP
出品|虎嗅机动资讯组
作者|黄青春
资料整理 | 张乐宁
题图 | 视觉中国
苹果又一次因为隐私安全问题被“锤”了。
近日,Amnesty International(国际特赦组织)发布报告称,苹果iPhone存在重大安全漏洞,不需要手机用户点击链接,“飞马”(Pegasus)便能窃取用户敏感数据。
一时间,舆论哗然,不少外媒言辞激烈控诉苹果,并要求其就该安全漏洞给出解决办法。
“飞马”入侵,苹果变监控器
苹果手机这次暴露的安全漏洞,究竟有多严重呢?
7月18日,Amnesty International在一份报告中指出,iPhone一旦感染NSO Group的“飞马”恶意软件,其便能够自主完成收集电子邮件、通话记录、社交媒体帖子、用户密码、联系人列表、图片、视频、录音和浏览历史记录等一系列操作。
除此之外,“飞马”还能轻松激活苹果手机的摄像头或麦克风,以此来实时捕获用户的新图像和录音,并收听电话和语音邮件。甚至,利用“飞马”可以准确定位该用户目前所处位置,并实时同步其处于静止或移动状态——等于直接将苹果手机变成了一部专业便携式监控设备。
一般而言,当苹果手机信息中出现未知链接或钓鱼链接时,只要用户不主动点击该链接就不会有问题,但这次的“飞马”软件则不同,其被发送至目标手机那一刻起,即便用户不主动点击该链接,也会被“飞马”控制。
Amnesty International经过证实发现,“飞马”可以成功入侵正在运行IOS 14.6系统的iPhone 12——该组织的安全实验室与《华盛顿邮报》合作检查了34部iPhone,其中23部被感染“飞马”,11 部显示出感染迹象,但并未感染。
而且,根据Amnesty International公开的数据显示,目前有超过50000个号码在被“飞马”监视的列表中,而这份号码名单由位于巴黎的非营利组织Forbidden Stories 和Amnesty International共同保管。
可以确定的是,名单涵盖了50多个国家的手机用户。其中包括阿拉伯王室成员、65位企业高管、85位人权活动家、189位记者以及600多名政治家和大量政府官员——包括各个国家的内阁部长、外交官、军事和安全官员。
甚至,这份“飞马”监视的名单中还有几位国家元首和总理——比如法国总统马克龙、南非总统西里尔·拉马福萨、世界卫生组织总干事谭德塞等。
面对如此危急的形势,苹果方面一直拖到7月20日凌晨,才推出IOS 14.7系统。至于IOS 14.7系统是否能够阻止“飞马”的入侵,目前尚未可知。
问题到底出在哪里?
大多数专家都认为,苹果手机被恶意软件劫持的源头在于——iMessage。
此前,苹果曾创建过一个名为Blast Door 的功能,专门用以针对筛选可疑消息,并阻止其深入手机非法获取隐私信息,但事实证明,这项功能并未能保证iPhone 用户的隐私安全。
“近日肆虐的‘飞马’软件,无疑能通过iMessage入侵苹果 iOS系统,很明显,NSO 可以击败苹果的抵御工具Blast Door。”多伦多大学网络安全分析师研究员Bill Marczak对此强调称。
对此,Amnesty International安全专家表示,苹果用户如果想阻止手机被恶意软件入侵,目前最有效的办法是更新到苹果IOS 14.7系统,但是设备制造商先要知道“漏洞所在”。
前美国国家安全局工作人员、Mac安全开发商Objective-See的创始人帕特里克·沃德尔在接受英国《卫报》采访时便指出:
“因为苹果的不透明性,导致攻击者一旦进入内部,他们就可以利用设备的安全性来攻击用户,并且研究人员很难检查iPhone的内部工作原理,(“飞马”)很难被发现。”
沃德尔还补充道:“苹果吹捧的安全功能,其实也是一把双刃剑——iMessage 通过端到端加密,这意味着没有人会看到你的漏洞。从攻击者的角度来看,也让入侵变得简单。”
为此,苹果安全工程和架构负责人 Ivan Krstić 则为公司的安全工作辩护称:
“Apple 明确谴责针对记者、人权活动家和其他寻求让世界变得更美好的人的网络攻击。十多年来,Apple 在安全创新方面一直处于行业领先地位,因此,安全研究人员一致认为 iPhone 是市场上最安全的消费移动设备。”
截止发稿,苹果对“飞马事件”的回应也只有一份简单的声明:
“像(飞马)那样的攻击非常复杂,开发成本数百万美元,通常保质期很短,并且用于针对特定个人。虽然它们不会对我们的绝大多数用户构成威胁,但我们将继续不知疲倦地保护所有客户,并不断为他们的设备和数据添加新的保护。”
苹果隐私安全为何更容易引发关注?
值得注意的是,“飞马”的制造商NSO Group其实是一家以色列公司,它专门向政府机构、执法部门出售软件,用来打击恐怖主义、汽车爆炸、性交易及贩毒行为。而“飞马”遭受全民声讨时,NSO辩称创造“飞马”的目的只是为了对恐怖分子的号码、通话、信息等进行监视。
即便本次“飞马”监视的对象主要是各个国家的记者、社会活动家及政府要员,但事件从7月18日发酵至今,引起了全球苹果用户的广泛关注——连各国政要的苹果账户都能轻松监视,更何况普通人。
毕竟,在算法时代,每个用户的出行路线、工作内容、餐饮喜好、休闲娱乐,记录了消费和财富也记录了情绪和欲望,我们早已物化成满身标签的综合体。
所以在国外社交平台Quora上,各国网友针对此次“飞马事件”便展开了激烈的讨论。
比如,一位名叫克里斯·萨默斯的网友,其从事手机销售&服务超过五年时间,他认为:“虽然和安卓系统比起来,苹果并不会经常受到恶意软件攻击,但这次的事件说明,NSO发现漏洞后,并没有告知谷歌或苹果,而是将其出售给政府来监视公民。”
另一位名叫克莱因的网友则认为:
“‘iPhone无法被黑客攻击’原本就是一个广告,只是为了销售手机的噱头,而苹果手机之所以很少被入侵,主要因为其用户只有安卓手机的三分之一。更大的市场份额自然更容易成为目标,所以更多黑客选择攻击安卓系统。”
其实,人们更关注苹果的安全问题确实与其一向以来标榜注重用户“隐私安全”脱不了干系。
早在2015年, iOS 9 发布时,苹果便展示了追踪新闻等应用程序的方式,当用户设定屏蔽后,一些第三方软件便无法获取用户数据,向用户发布更有个性化推荐的广告。
2016年,苹果发布iOS10,加入“限制广告追踪”功能,只要用户打开这个功能,就可以彻底重置IDFA(广告标识符)。
2016 年初,联邦调查局希望苹果开发一款软件用以解锁一部嫌疑人的iPhone,以辅助案情侦破。虽然苹果帮助FBI 从疑犯 iCloud 账户中提取了部分数据,但由于不知道手机密码,有些数据联邦调查局仍无法完全获取。
2016年2月16日,美国治安法官Sheri Pym命令苹果为FBI开发后门软件,但该命令遭到苹果拒绝。苹果CEO库克认为,该项命令会威胁到所有iPhone用户的安全,并表示,“绕过iPhone密码意味着在其iOS系统中创建一个后门,而它也可被用来窥探所有其他 iPhone。”
在此之后,随着越来越多类似事例的发生,苹果坚决捍卫用户隐私安全的形象逐渐占据了消费者心智。连苹果CEO库克也多次在公开场合呼吁,“建立更全面的隐私法,捍卫消费者隐私权。”
2021年6月,苹果还在WWDC2021(全球开发者大会)上公开了iOS15在隐私保护上的革新,新推出“应用程序隐私报告”功能,当用户选择保存应用活动时,iOS 将产生一个 JSON文件,用户应该对这个JSON 文件的内容进行查看审核,以确认应用程序的行为是否符合预期。
“你的应用程序应该只访问用户期望的数据,并在他们期望的时间访问。”库克在大会上这样解释。
然而,谁也不曾想到,打脸来的如此之快——当Amnesty International扔出那份“飞马”监视的50000个号码名单时,人们才意识到苹果的隐私安全保护,已不容乐观。
毋庸置疑,从国家或者个人层面出发,企业能否保护好用户隐私安全才是最重要的,而非一直被强化的隐私保护“品牌形象”。