網絡安全監督組織公民實驗室(Citizen Lab)周一(9月13日)表示,他們發現了蘋果公司(Apple Inc.)系統中的一項漏洞,黑客可藉此在所有iOS、MacOS和WatchOS設備上,安裝飛馬(Pegasus)間諜軟件。

值得注意的是,即使用戶沒有任何互動,攻擊也能奏效。研究人員認為,也不會有任何明顯的跡象,顯示設備已遭到攻擊。

Citizen Lab在聲明(超連結)中指出,他們在分析一名沙特阿拉伯活動家的手機時,發現了這個針對iMessage的「零時差零點擊漏洞」(zero-day zero-click exploit)。

Citizen Lab表示,他們將這個漏洞稱為「FORCEDENTRY」,並確信以色列網絡監控公司NSO Group至少從今年2月起,一直利用這個漏洞攻擊最新的Apple設備。目前不清楚還有多少用戶遭到入侵。

此前,NSO Group曾傳出利用飛馬(Pegasus)間諜軟件監控世界各地的政要、記者、維權人士的手機,震驚全球。(了解詳情

Citizen Lab指出,主要是利用iMessage能自動呈現圖像的漏洞進行攻擊,只要用戶收到惡意製作的PDF檔,就能觸發漏洞,執行任意系統代碼併入侵設備。

聲明中稱,Citizen Lab已在上周二(9月7日)將該漏洞報告給蘋果公司。

蘋果公司也在周一,緊急發布軟件更新,修復了這個漏洞。

蘋果公司工程安全和構架主管克爾斯蒂奇(Ivan Krstić)在一份聲明中說:「在發現這個用於iMessage的漏洞後,蘋果迅速開發並在iOS 14.8中部署了一個修復程序,以保護我們的用戶。」

「這樣的攻擊是高度複雜的,需要花費數百萬美元來開發,且往往有效期很短,被用來針對特定的個人」,他補充說,「雖然這意味著它們對我們絕大多數用戶沒有威脅,但我們將繼續不懈努力,保護我們所有的客戶,我們將不斷為他們的設備和數據增加新的保護措施。」

NGO Group並未及時回應《大紀元時報》的置評請求。

據路透社報道,NSO並未承認或否認,它是否為這項技術的幕後推手。只說,該公司將「繼續為世界各地的情報和執法機構,提供拯救生命的技術,以打擊恐怖主義和犯罪行為」。

「流行的聊天應用程式,可能正成為設備安全的弱點。」Citizen Lab研究員約翰·斯科特·雷爾頓(John Scott-Railton)對路透社說:「確保它們的安全應該是首要任務。」

2019年,WhatsApp也曾出現一個零點擊漏洞。Citizen Lab表示,NSO在兩周內,利用該漏洞入侵了超過1,400部手機。

儘管NSO表示,它對出售技術的政府進行了審查,但許多遭飛馬間諜軟件感染的活動家、記者和反對派政治家,都來自人權記錄不佳的國家。

Citizen Lab在聲明中說:「我們最新發現的另一個Apple零時差漏洞,被NSO Group當成武器庫的一部份,這進一步表明,像NSO Group這樣的公司,正為不負責任的政府安全機構提供『專制即服務』(despotism-as-a-service)。 」

他們呼籲,「迫切需要對這個不斷增長、高利潤且有害的市場進行監管」。#

------------------

【噤聲時代,更需要真相】

一起守住心中最後的光:https://bit.ly/3t45Qni

✅立即支持訂閱:
https://hk.epochtimes.com/subscribe
✅直接贊助大紀元:
https://www.epochtimeshk.org/sponsors
✅成為我們的Patron:
https://www.patreon.com/epochtimeshk