蘋果於上周四(9/21)緊急更新了3個已遭駭客濫用的零時差漏洞,提報漏洞的加拿大公民實驗室(Citizen Lab)Google威脅分析小組分別在隔天揭露了攻擊場景,指出遭到攻擊的是手持iPhone的埃及總統候選人Ahmed Eltantawy,駭客利用相關漏洞在Eltantawy的手機上植入了間諜程式Predator。

公民實驗室說Predator的開發商是Cytrox,Google則說是Intellexa,這是因為有資安業者認為,Intellexa是由包括Cytrox、Nexa Technologies與WiSpear等商業間諜軟體業者共同設立的聯盟,共同開發與銷售Predator,目的是與打造Pegasus間諜程式的NSO Group相抗衡。不過,不管是Cytrox或Intellexa,都已經在今年7月被美國列入禁止商業往來的實體名單(Entity List)中

Predator的功能與Pegasus類似,在成功植入手機後,它們即可存取手機內部的所有資料,從訊息、電話、照片到密碼,還可以隱藏程式,也能監控手機位置,或是啟動手機鏡頭與麥克風。

公民實驗室指出,曾擔任埃及議員的Eltantawy是在今年3月宣布要參選埃及總統,以取代現任總統Abdel Fattah el-Sisi的專治與鎮壓國家治理手段,之後Eltantawy的家人與支持者即開始受到各種騷擾與逮捕,Eltantawy則懷疑自己的手機受到危害,因而主動找上了該實驗室。

上周蘋果所修補的3個漏洞,分別是可用來執行任意程式的WebKit漏洞CVE-2023-41993,可繞過簽名驗證的CVE-2023-41991,以及可擴充本地端權限的CVE-2023-41992。

根據公民實驗室的調查,Eltantawy是在今年的8到9月間從iPhone造訪了幾個沒有使用HTTPS加密傳輸的網站,當時他使用的是Vodafone Egypt的行動網路,卻悄悄的被轉向到存放Predator的惡意網站。

至於流量之所以能夠神不知鬼不覺地被轉向,除了Eltantawy所造訪的網站缺乏加密之外,也因為駭客是透過一個置放在埃及境內的裝置,藉由網路注入攻擊來遞送Predator。此外,公民實驗室分析,要能精準地針對某個Vodafone用戶進行注入,也必須整合Vodafone的客戶資料庫,再加上埃及政府原本就是Cytrox的客戶,因而相信該攻擊是由埃及政府所主導。

Google則說,當受害者的手機被植入惡意程式之後,惡意程式即開始利用上述3個iOS漏洞,接著執行一個小程式來判斷是否要安裝完整的Predator。

駭客不只鎖定iOS用戶,Android用戶同樣也受到Predator的攻擊,且駭客也利用了Chrome上的零時差漏洞CVE-2023-4762,已於9月5日修補。

公民實驗室指出,此一攻擊事件揭露了整個電信生態系統的潛在風險,人們的網路通訊是藉由許多網路及中介設備來傳送,倘若當中的某些網路與設備遭到濫用,再加上造訪了未加密的網站,就可能受到危害,而這也突顯了應實現百分之百的HTTPS採用率的重要性。

此外,這次攻擊中被注入惡意程式以重新定向的設備,為加拿大網通設備業者Sandvine所生產的PacketLogic,且過去PacketLogic已有遭到濫用的紀錄,使得該實驗室不僅去信Sandvine,也要求加拿大政府應立法來避免出口可能侵犯人權的技術。

熱門新聞

Advertisement