調查 Pegasus 嘅議員自己中招:iPhone 高風險用戶要點防
Tech News

調查 Pegasus 嘅議員自己中招:iPhone 高風險用戶要點防

圖片:via iThome — https://www.ithome.com.tw/news/177169
TechLab 編輯部(譯)·

高風險人士要睇 iOS 更新、Apple 警告同 Lockdown Mode

件事最刺眼嘅位

呢單刺眼,因為 Pegasus 打中咗正查 Pegasus 濫用嘅人。iThome 報道,希臘前歐洲議會議員、調查記者 Stelios Kouloglou,曾經係 PEGA 委員會候補成員;Citizen Lab 之後幫佢驗 iPhone,判斷手機喺 2022 年 10 月 21 日、2023 年 3 月 6 至 7 日成功俾 NSO Group 嘅 Pegasus 感染。呢個時間點好敏感,因為 PEGA 當時正忙住開會、出差同草擬調查報告,攻擊者理論上有機會睇到未公開文件、短訊、電郵,甚至同委員會討論有關嘅內容。

iPhone 設定入面嘅 Lockdown Mode 開關位置

圖片:Apple

唔好急住估邊個政府出手

Citizen Lab 對歸因講得好謹慎:佢哋話有高度信心係 Pegasus 感染,但暫時冇指向某個政府,仲特別講冇跡象顯示希臘政府負責。佢哋見到嘅線索係,2022 年嗰次攻擊用到同另一批俄語、白俄語流亡記者同活躍人士相同嘅 HomeKit email 指標,意味可能係同一個 Pegasus 客戶或者操作組。政治上好易即刻搵兇手,但技術證據暫時只夠講到「有重疊」同「值得查」,未夠講死邊個出手。

Apple Account 頁面顯示威脅通知嘅示意畫面

圖片:Apple

技術重點:攻擊面唔止 iMessage

Citizen Lab 原報告有個值得拆開講嘅位:Kouloglou 2022 年嗰次入侵,研究員認為用咗 PWNYOURHOME 零點擊漏洞鏈。呢條鏈先打 HomeKit,跟住再落到 MessagesBlastDoorService,亦即係一般人會以為好少接觸嘅「家居」功能,都可以變成 iPhone 攻擊入口。Citizen Lab 早喺 2023 年講過,NSO 客戶喺 2022 年廣泛用過三條 iOS 15 / iOS 16 零點擊鏈,當中 PWNYOURHOME 牽涉 HomeKit 同 iMessage,Apple 之後喺 iOS 16.3.1 加咗 HomeKit 安全改動。

Lockdown Mode 有代價,但有用

Apple 嘅 Lockdown Mode 平時好少人開,原因好現實:開咗之後,Messages 附件、link preview、FaceTime 來電、Apple 服務邀請、部分 web 技術、唔安全 Wi-Fi、自動 2G/3G 支援、設定檔同加入新 MDM 管理,都會俾限制。普通人未必受得住呢種麻煩,但高風險人群要反過嚟諗:Pegasus 呢類工具貴、攻擊窗口短,成功往往靠手機大量方便功能做入口;你願意斬走啲入口,攻擊成本就即刻高好多。Apple 支援文件都講,開 Lockdown Mode 前要先更新所有裝置,之後每部 iPhone、iPad、Mac 分開開。

收到 Apple 警告點做

另一個容易俾人忽略嘅位係 Apple threat notification。Citizen Lab 話 Kouloglou 部 iPhone 2023 至 2024 年間有三次 Apple 威脅通知紀錄,但佢本人唔記得見過;Apple 官方又講明呢啲通知通常唔即時,系統會喺偵測到高信心攻擊跡象後,用 account.apple.com、email 同 iMessage 通知。收到呢類警告,第一步要避開信入面嘅 link,因為真通知唔會叫你交 Apple Account 密碼、驗證碼、裝 app 或 profile;直接登入 account.apple.com 睇頂部有冇通知,再搵可信安全團隊幫手,好過自己估中招機會有幾大。

普通 iPhone 用戶使唔使驚

講到呢度,風險都要講清楚。Apple 自己話 mercenary spyware 攻擊成本可以去到數百萬美元,通常只打極少數人,目標多數因為身份、工作、人脈或者資料價值而中選。一般 iPhone 用戶最有效仍然係更新 iOS、用強密碼同雙重認證、app 只喺 App Store 裝、唔亂撳陌生 link 或附件。記者、NGO、政治同法律界、企業高層、同敏感消息來源長期通訊嘅人,先應該認真考慮 Lockdown Mode、分隔工作手機、定期搵專人驗機,甚至出差用獨立裝置。

要記住嘅教訓

呢件事最有用嘅教訓,係手機安全唔可以淨係靠「我冇撳可疑 link」。Pegasus 呢類 zero-click spyware 專門避開你嘅判斷,攻擊入口可以藏喺 iMessage、FaceTime、HomeKit、Find My 呢啲平時好正常嘅功能入面。高風險人士要做嘅係減少攻擊面、縮短舊 iOS 暴露時間、當 Apple 警告係正式安全事件咁處理;至於一般人,唔使日日驚 Pegasus,但唔更新系統、亂裝 profile、Apple Account 保護薄弱,呢啲先係真係會日日出事嘅位。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook