
Pegasus 又爆濫用:查間諜軟件嘅歐洲政治人物自己都中招
高風險人士點樣減低零點擊攻擊面同手機外洩風險
件事最刺眼嘅位
TechNews 科技新報報道,希臘前歐洲議員兼記者 Stelios Kouloglou 喺歐洲議會 PEGA 委員會查 Pegasus 同同類監控工具濫用期間,自己部 iPhone 都俾 Pegasus 入咗。呢件事唔止係「又有名人中招」咁簡單:受害人本身就參與緊調查,處理委員會討論、草擬報告、訪問受害者同同僚溝通。手機一失守,流出去嘅可以唔止私人相同訊息,仲有未公開嘅政治同法律文件脈絡。

圖片:Apple
Citizen Lab 查到咩
Citizen Lab 7 月 3 日公布嘅 forensic 分析話,Kouloglou 2026 年 5 月交出 iPhone 痕跡畀佢哋查,結果顯示裝置喺 2022 年 10 月 21 日左右成功中 Pegasus,2023 年 3 月 6 至 7 日又再有 Pegasus 活動。佢哋判斷攻擊同 Apple HomeKit 相關嘅 PWNYOURHOME 零點擊漏洞有關,Kouloglou 當時部機跑 iOS 15.5;Apple 之後喺 iOS 16.3.1 改咗 HomeKit 相關問題。講白啲,呢類攻擊唔使你撳 link、唔使你開附件,手機收得到特製內容已經可能出事。

圖片:Google Security Blog
時間點透露咗攻擊目標
第一次感染發生喺 2022 年 10 月,PEGA 委員會正準備第一版調查報告,之後仲有多場聽證同去希臘、塞浦路斯訪查。第二輪出現喺 2023 年 3 月,接近委員會最後草擬同談判階段。Citizen Lab 冇指名邊個政府客戶,仲講明冇跡象顯示希臘政府負責;佢哋只係見到第一輪攻擊用過嘅 HomeKit email,同之前針對歐洲境內俄語、白俄語獨立記者同反對派人士嘅 Pegasus 攻擊有重疊。呢點好重要:唔好亂估幕後黑手,但可以肯定有人對調查過程本身好有興趣。
零點擊攻擊點解咁難防
一般資安建議成日講「唔好亂撳 link」,對 phishing 同惡意 app 仍然啱用,但對 Pegasus 呢種高價工具只係基本功。零點擊攻擊最煩係用家冇明顯失誤都會中,所以更新系統先變到好現實:Kouloglou 部機當時停喺 iOS 15.5,而 Citizen Lab 話相關 HomeKit 問題後來已經俾 Apple 修補。更新唔係萬能,尤其係零日漏洞未公開嗰段時間,但拖住唔升級等於主動延長漏洞窗口。
一般用家可以點做
大部分人唔會係 Pegasus 客戶願意花大錢追蹤嘅目標,呢點要講清楚;不過同一套手機衛生習慣,對一般 scam、惡意 app 同帳戶盜用都有用。第一,iPhone、Android、WhatsApp、Signal、瀏覽器同雲端備份 app 都開自動更新,重大更新唔好拖幾個月。第二,app 只喺 App Store 或 Google Play 裝,Android 用家唔好為咗貪方便開 unknown sources;iPhone 用家唔好亂裝描述檔、企業簽名 app 或來歷唔清楚嘅 beta。第三,重要帳戶用 passkey 或兩步驗證,SIM 卡、電郵同雲端相簿都要獨立密碼,因為手機中招好多時會變成其他帳戶一齊爆。
收到威脅通知點處理
Apple 官方講得好清楚,mercenary spyware 通知係針對少數人,通常同身份或工作有關,而且 Apple 唔會喺通知入面叫你撳 link、開檔、裝 profile 或交 Apple Account 密碼。真係收到 email 或 iMessage,先去 account.apple.com 自己登入核實,唔好由訊息入面嘅連結入去。Kouloglou 個案入面,Citizen Lab 見到佢曾經喺 2023 年 3 月、8 月同 2024 年 4 月收到 Apple 威脅通知痕跡,但呢類通知唔係即時警報,可能隔咗一段時間先到。真係中通知,又屬於記者、律師、NGO、政治人物或企業高層呢類敏感角色,下一步應該搵有經驗嘅數碼安全團隊做 forensic screening,唔好自己上網搵「Pegasus scanner」亂試。
邊啲人值得開 Lockdown Mode
Lockdown Mode 唔係日常省電模式,Apple 自己都話係畀極少數可能俾高度針對嘅人用。開咗之後,訊息附件、連結預覽、部分網頁技術、陌生 FaceTime、Home app 邀請、鎖機 USB 連接、唔安全 Wi-Fi 同 2G/3G 連線都會受限,代價係部分網站同日常操作會麻煩咗。適合開嘅人包括查敏感題材嘅記者、處理 whistleblower 資料嘅律師或 NGO、政治同公共政策人物、掌握高價商業機密嘅高層、同公司入面經常接觸收購、制裁、訴訟資料嘅少數人。普通用家未必要長開,但短期出差、開高敏感會議或收到平台威脅通知時,開一段時間好合理。
Android 用家唔好以為冇份
今次 Kouloglou 用嘅係 iPhone,但 Pegasus 同同類工具一直都唔只睇 iOS。Android 16 之後有 Advanced Protection,Google 官方話可以一鍵開多層裝置防護,包括 Play Protect 唔俾關、阻擋未知來源 app、2G 連線保護、Chrome 盡量用 HTTPS、USB 防護、72 小時鎖機後自動重啟,同可選嘅 Intrusion Logging。用 Pixel 或已升 Android 16 嘅機,Security & Privacy 入面見到 Advanced Protection 就值得了解;高風險人士開咗之後,起碼唔會因為某個設定俾自己或惡意 app 隨手關走。
之後要留意咩
歐洲議會 2023 年已經講過要 EU Tech Lab、裝置 screening、漏洞處理規則同更嚴格 spyware 規管,今次 Citizen Lab 報告最尷尬嘅位係:PEGA 委員會查緊 Pegasus 濫用,成員自己部手機都懷疑俾 Pegasus 打中。對手機用家嚟講,結論唔複雜:一般人先做好更新、app 來源、帳戶保護同備份;高風險人士就要早啲用 Lockdown Mode 或 Advanced Protection,收到平台通知就搵專家保留證據同查機。等到手機已經出事先補救,通常已經遲咗半拍。
參考來源
- TechNews 科技新報 — 歐政治人物調查間諜軟體濫用,手機竟遭 Pegasus 入侵 — original report
- Citizen Lab:PEGA 委員會成員中 Pegasus 報告 — Primary forensic source,用嚟核實感染時間、漏洞路徑、attribution 邊界同防護建議。
- Apple:Lockdown Mode 說明 — 官方防護設定資料,用嚟寫 iPhone 高風險模式嘅限制同開啟方法。
- Apple:mercenary spyware 威脅通知說明 — 官方資料,用嚟核對 Apple 威脅通知點樣驗真同收到後應點處理。
- Google Android Help:Advanced Protection 說明 — 官方 Android 防護資料,用嚟寫 Android 16 高風險模式同涵蓋功能。
- Google Security Blog:Android 手機 Advanced Protection — Google 官方背景,用嚟補 Android 16 裝置級防護同 Intrusion Logging。
- 歐洲議會:PEGA 委員會最終報告同改革要求 — 官方背景,用嚟補 PEGA 委員會點解成立、建議咗咩制度補救。
- Amnesty Security Lab:MVT 同 forensic 工具說明 — Civil society 背景,用嚟補手機 spyware 檢測要專家處理,唔好寫到似一般 app。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







