阿联酋知名民权活动家艾哈迈德·曼苏尔的 iPhone 6收到一条短信,称有“阿联酋监狱虐囚的新秘密”,文末附有超链接。如果他点下链接,这部 iPhone 便会被远程控制,发件人将能看到里面的所有短信、邮件、通话记录,并且可以追踪到屏幕上的每一次点击。甚至,他们可以监听手机周遭的声音,而曼苏尔的 iPhone 屏幕上什么都看不出来。
控制这部手机的,是以希腊神话中的“天马”(Pegasus)命名的黑客工具。
尽管整件事听上去和《谍影重重5》里中情局发起的远程攻击类似,但这不是好莱坞编剧构想的电影情节,而是已经发生的事情。
上周五,苹果发出 iOS 9.3.5系统更新,唯一目的便是为了防御“天马”的攻击。
类似电影情节的攻击
根据苹果公司的公告,iOS 9.3.5修复了三个由公民实验室(Citizen Lab)和 Lookout 提交的安全威胁。前者是多伦多大学国际关系学院下属的技术实验室,后者是一家位于旧金山的移动安全公司,曾曝光过多个手机漏洞。
在苹果发布升级补丁后,Lookout 官方博客刊文介绍了“天马”对 iPhone 的攻击能力。
非常可怕。可怕之处在于,“天马”利用这组漏洞的攻击不仅效果惊人而且悄无声息。
用户只要点击了特定链接,“天马”可以完全不留痕迹地装进用户的 iPhone。链接来源没什么要求,可以是短信、邮件也可以是社交应用,只要打开它就会安装“天马”。
“天马”可以将 iPhone 中所有未经加密的资料上传到指定、并且还可以记录屏幕点击,这样一来就算加密的信息也能拿到了——只要加密就需要输入密码,拿到密码就有一切。
更夸张的是,“天马”可以静默启用 iPhone 的摄像头、麦克风监视主人活动。
除了什么都能干以外,“天马”在反追踪方面也颇下功夫,在4G 联网时它会放慢数据传输速度以避免过快消耗电力或流量。当手机连接 Wi-Fi 的时候则会加快数据偷取,让用户更难以察觉。
苹果8月中旬从 Lookout 和“公民实验室”收到了关于这一组漏洞的报告,在本周五推出安全补丁。
攻击败露是因为一个人权活动家的警觉
根据《纽约时报》的报道,阿联酋人权活动家艾哈迈德·曼苏尔(Ahmed Mansoor)的 iPhone 6 在8 月 10 日的时候,收到了攻击短信。
曼苏尔是“阿联酋五杰”(UAE Five)之一,曾因呼吁民主化改革在 2011 年入狱。作为一个工程师背景的异见人士,曼苏尔收到陌生人发来的短信后没有点链接,而是转给了“公民实验室”。
随后“公民实验室”和合作伙伴 Lookout 一路挖掘到了“天马”的起源。
阿联酋人权活动家艾哈迈德·曼苏尔
和电影里经常出现的黑客工具不同,“天马”不是什么天才少年黑客的作品,而是来自以色列科技公司 NSO Group Technologies。这套系统此前曾被曝光,但当时它所攻击的对象只是黑莓以及部分 Android 手机,不包括 iPhone。
NSO 开发出“天马”后,以平均 25000 美元攻击一个目标的价格向政府机构兜售。根据巴拿马地方报纸 La Prensa 去年调查政府非法监控丑闻时获得的信息,NSO 以 800 万美元的价格打包出售了针对 300 台设备的攻击。
但 NSO 公司声明称,曼苏尔手机被监控的情况公司并不知情。NSO 辩解说,他们的产品销售透明且合法,主要的目的适用于政府打击恐怖主义犯罪,间谍软件他们只卖给认可的政府组织。但 NSO 也说,至于软件卖出了具体要干什么,NSO 只是要求和建议,但并不负责。
2013 年,NSO 联合创始人 Omri Lavie 在接受《美国国防新闻周刊》的采访时称,他们能完全不被察觉地进入被监视对象的生活,不留痕迹。如今看来,所言非虚。
最安全的系统也不可能保证绝对安全
这次被攻破的 iOS 实际上几乎是普通消费者能买到的最安全的智能手机。
苹果除了互联网产品上常见的两步验证,还在旗下产品上启用了 two-factor 双重设备验证,引入硬件加密。
当你在其它地方登陆 Apple 账户的时候,双重设备验证会往你指定的硬件产品上发送验证码才能继续登陆。相比通过传统的两步验证,双重设备验证更加安全。
苹果双重设备验证,比互联网服务常用的两步验证更加安全
库克年初在用户隐私问题上公开反抗美国政府之后,进一步推进了全线产品的加密。
但此次被暴露出的 iOS 漏洞比美国政府“公开”希望获得的后门还要严重得多。
这是数字安全的现实,即便是业内最有钱的公司全力以赴,也不可能保证绝对安全。总是有人发现漏洞、公司再去补上。
这也是为什么美国主要科技公司在不留后门的事上为何如此步调一致——连想堵都堵不上,更别提刻意给人留一扇门了。
此次 iOS 的高危漏洞,如果曼苏尔欠一点警觉,或者攻击者准备得再周密一些,可能还会继续存在一段时间。
而用户更多的 Android 平台的漏洞就更多了,8 月份就有两个非常大的:Android 使用的 Linux 3.6 内核的一个漏洞可以让黑客通过网页访问嗅探用户的账号和密码,80% 的 Android 设备中招;另一个漏洞是高通芯片带来的,9 亿使用高通芯片的 Android 设备面临被黑客静默植入高权限木马的危险,而且修复补丁何时实装也遥遥无期。
不是名人你也不安全
关于数字安全一个常见的论调是,“我又不反动,有什么好怕的”。
的确,“天马”太贵了,不是重点目标,大概不会有人花十几万来获取你手机上的信息。(如果你还担心,可以用这个应用查一下)
但没人知道下一个系统漏洞会被什么人发现,下一个互联网公司的服务器会被什么人攻破。
不是每个黑客都像 NSO 公司有能力把武器高价卖给政府。要是下一个高危漏洞被一个急着换钱的黑客找到,可能就会变成一个大批量攻击的工具。
被人看短信、丢一个社交网络的密码或者邮箱密码,听上去可能不是特别大的事。但通过这些信息,攻击者有可能获得你的身份证号码、人际关系、出行计划,并将它们卖给诈骗者。
极少有人会相信中奖打 10 万过去的随机诈骗短信。但当骗子知道足够多的信息,而你又恰好在压力很大的时候,被骗的可能性就会大大增加。
比如“网购订单支付出现问题”、“你乘坐的航班被取消,请联络 xxx”的诈骗短信都屡屡成功。
这么做你的信息会安全一点
不要为省几块钱越狱。
收到提示后,及时升级操作系统。厂商的安全人员再努力也架不住你不升级系统。
不回复任何类似验证码的信息,有用户被人利用验证码的回复攻破了手机号码,偷走了所有存款。
不要使用相同的密码。近期 Dropbox 重置了一大批用户的密码,这些用户是 2012 年以后就没改过密码的人群,Dropbox 认为他们的账号有被撞库侵入的风险。
至少保住最关键的账号。很少有人能记得几十个复杂密码,你可以给特别不重要的服务都用相同的简单密码。但确保最关键的账号,比如支付宝、微信、Gmail、苹果账号用上不同的密码。
用 1Password 之类不上传到服务器的工具管理多密码,或者使用一种黑客永远也没法攻破的工具——拿笔写在本子上。
使用两步验证或者授权验证登陆。尽管通过短信的两步验证也有被攻破的风险,但有它远比没有安全。使用苹果设备的要开启 two-factor 双重验证。
付款尽可能使用跳转到支付宝和微信的应用支付、少填银行卡号。今年一月,凯悦酒店集团的系统被黑客攻破,数百万客户的信用卡卡号和 CVV 码泄露——足以制卡盗刷,不需要支付密码。
海淘或为海外互联网服务付费的时候,尽量用 Paypal、Stripe、亚马逊之类的渠道支付,减少信用卡信息泄露的可能。
对于不常用的海外互联网服务,可以考虑买充值卡消费——同样是为了减少信用卡信息泄露。
注册互联网服务的时候尽量用邮箱,而不是更方便的手机号登录。当手机号和其它个人信息一同泄露,有可能帮助诈骗者编出更好的故事。大多数公司的短信验证都调用第三方服务,即便你相信自己注册的服务品牌,也没理由相信提供短信验证的公司。
如果实在不想用邮箱注册,微信也能提高安全性,它的登陆系统只授权名字和头像,对方能获得的信息比较少。
总之,填个人信息的时候不要那么实诚。在非绝对必要的情况外,少填真实个人信息,信息越多越容易被社会工程学利用。