Google發布《Buying Spying》報告，公開商業間諜軟體產業的運作

就在美國宣布將針對散布間諜軟體的個人進行簽證限制的隔天，Google出版了長達30項的《Buying Spying》報告，公開商業間諜軟體產業的運作。

Google威脅分析小組（Threat Analysis Group，TAG）長期以來追蹤全球約40家商業監控供應商（Commercial Surveillance Vendors，CSV），這些供應商負責提供付費服務及工具，整合了用來繞過各種安全機制的攻擊鏈，同時供應間諜軟體及必要的基礎設施，以蒐集目標對象的資料。

這些CSV的主要客戶為各國政府，攻擊對象則涵蓋記者、人權捍衛者、異議份子與政治對手，它們之所以引起Google TAG的注意，最大因素可能來自於CSV所利用的零時差漏洞，有一半是針對Google產品與Android系統。

根據TAG的統計，自2014年以來，在波及Google產品的72個零時差漏洞中，有35個源自於各家CSV，而且這是個保守估計，TAG相信這些CSV所利用的零時差漏洞一定更多，只是尚未被發現。

TAG指出，倘若各國政府曾經獨占了最尖端的技術，那麼那個時代已然結束，因為TAG現在所發現的最先進的攻擊工具中，絕大多數都是來自於這些私人的商業監控供應商，光是在2023年所發現的25個已遭攻擊的零時差漏洞，便有20個源自CSV。

與尋常的軟體產業一樣，CSV採用了不同的方法於間諜軟體市場中保持競爭力，它們建立關係以向政府客戶提供間諜軟體，並藉由專業性、協作或收購來提供有競爭力的產品。

TAG於報告中描述了Cy4Gate與RCS Lab、Intellexa、Negg Group、NSO Group及Variston等CSV業者的操作手法，包括它們如何宣傳與交付自家的間諜軟體產品，報告中也採訪了曾受到攻擊的受害者。

其中，2014年於義大利創立的Cy4Gate開發了鎖定Android與iOS平臺的Epeius間諜軟體，使用至少3個Android零時差漏洞，並在2022年收購了同樣位於義大利的RCS Lab，成立於1993年的RCS Lab宣稱可提供高度可靠的電子監控解決方案，並開發與銷售名為Hermit的間諜軟體。儘管已合併，但Cy4Gate與RCS Lab仍保持獨立運作，以各自的產品替不同的客群提供服務。

最後，Google則呼籲，只要各國政府擁有購買商業監控技術的需求，該產業便會持續茁壯，繼續開發及銷售間諜軟體，而現在應該是政府、產業及民間社會共同改變其結構的時候了，以免相關技術進一步地蔓延。