國際特赦組織發現,蘋果 HomeKit 當中暗藏一個安全漏洞,被用來攻擊塞爾維亞記者與異議人士的 iPhone。蘋果已通知兩名受害者,他們的設備已被飛馬間諜軟體 Pegasus 入侵。
什麼是 Pegasus?這是由 NSO 集團所打造的間諜軟體,專門出售給政府組織與執法機關;而 NSO 集團向駭客手中購買零日漏洞,好讓其間諜軟體可利用零日漏洞對目標發動零點擊攻擊。零點擊攻擊手法會讓受害者無法輕易察覺,因為受害者不需要點開訊息或與內容互動,就會受到損害,進而讓受害者暴露個人資料。
iOS 現在會自動掃描 iPhone 內是否被 Pegasus 攻擊的跡象;如果發現,蘋果就會對用戶發出示警。
據國際特赦組織的新聞稿顯示,兩名塞爾維亞知名異議人士就收到了來自蘋果的示警,稱他們的設備可能遭受了「有國家背景支持的攻擊」。隨後這兩名異議人士就聯繫了 SHARE 基金會,該基金會與國際特赦組、Access Now 合作,並對兩名被通知異議人士的 iPhone 進行了單獨的取證分析,進而發現是遭受 Pegasus 攻擊。
國際特赦組織發現,這波攻擊是透過 HomeKit 漏洞來實施。不過目前尚未透露 HomeKit 漏洞的細節,有可能是因為蘋果仍在修補這個漏洞。
不過並不是只有 iPhone 用戶會受到類似的侵害,調查發現,Android 智慧型手機也在此次攻擊中受到損害。現在政府組織除了會購買 Pegasus 間諜軟體外,也有可能購買 Cellebrite 或 NoviSpy 來定位受害者的裝置、提取資料,整個過程中甚至不需要存取裝置密碼。
(首圖來源:shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
