蘋果用戶應(yīng)該立即更新他們的所有設(shè)備——iPhone、iPad、Mac和AppleWatch——以安裝一個緊急補(bǔ)丁，防止以色列公司NSO利用iMessage中的漏洞感染設(shè)備。

　　蘋果公司周一推出的安全更新包括適用于iPhone和iPad的iOS14.8，以及適用于Apple Watch和macOS的緊急更新。這些補(bǔ)丁將將修復(fù)至少一個它所說的“可能已被積極利用”的漏洞。

　　Citizen Lab上個月首次發(fā)現(xiàn)了前所未見的零點(diǎn)擊漏洞，并檢測到該漏洞的目標(biāo)是iMessage。據(jù)網(wǎng)絡(luò)安全監(jiān)管機(jī)構(gòu)稱，該漏洞被用于利用通過NSO公司開發(fā)的Pegasus間諜軟件非法監(jiān)視巴林活動家。

　　Citizen Lab將這種特殊的漏洞稱為ForcedEntry，因?yàn)樗軌蚶@過Apple的BlastDoor保護(hù)。

　　Citizen Lab在8月表示，他們已經(jīng)確定了9名巴林活動家，他們的iPhone在2020年6月至2021年2月期間受到了Pegasus間諜軟件的影響。一些活動家的手機(jī)遭受了零點(diǎn)擊iMessage攻擊，除了ForcedEntry之外，還包括2020KISMET漏洞利用。

　　這些活動家包括Waad的三名成員、巴林人權(quán)中心的三名成員、兩名流亡的巴林持不同政見者和AlWefaq（巴林什葉派政治社團(tuán)）的一名成員。

　　ForcedEntry漏洞特別引人注目，因?yàn)樗晒Σ渴鸬阶钚碌膇OS版本14.4和14.6，繞過Apple的BlastDoor保護(hù)，在巴林激進(jìn)分子的iPhone上安裝了間諜軟件。

　　Citizen Lab于2021年2月首次觀察到NSO Group部署了ForcedEntry。Apple剛剛推出了BlastDoor，這是iOS14中的一項(xiàng)結(jié)構(gòu)改進(jìn)，旨在阻止基于消息的零點(diǎn)擊漏洞利用，例如前一個月的NSO Group相關(guān)攻擊。

　　BlastDoor應(yīng)該通過充當(dāng)Google Project Zero的Samuel Gro?所說的“嚴(yán)密沙盒”服務(wù)來防止這種類型的Pegasus攻擊，該服務(wù)負(fù)責(zé)幾乎所有iMessages中不受信任數(shù)據(jù)的解析。

　　在周一的一篇帖子中，Citizen Lab的研究人員表示，2021年3月，他們檢查了一位要求匿名的沙特活動家的電話，并確定該電話已感染了NSO集團(tuán)的Pegasus間諜軟件。上周二，也就是9月7日，Citizen Lab轉(zhuǎn)發(fā)了另一部感染Pegasus的手機(jī)上發(fā)生的兩種類型崩潰的artifact，懷疑這兩種感染都顯示了ForcedEntry漏洞利用鏈的一部分。

　　Citizen Lab于9月7日星期二將這些artifact轉(zhuǎn)發(fā)給蘋果公司。9月13日，星期一，蘋果公司確認(rèn)這些文件包含針對iOS和MacOS的0day漏洞利用。Apple已指定ForcedEntry漏洞正式名稱為CVE-2021-30860：一個尚未評級的漏洞，Apple將該漏洞描述為“處理惡意制作的PDF可能導(dǎo)致任意代碼執(zhí)行”。

　　嗅探NSO公司的蹤跡

　　Citizen Lab列出了幾個不同的因素，這些因素使研究人員高度相信，該漏洞可以與以色列秘密間諜軟件制造商N(yùn)SO Group相關(guān)聯(lián)，其中包括一個名為CascadeFail的forensic artifact。

　　根據(jù)Citizen Lab的說法，CascadeFail是一個bug，“證據(jù)未完全從手機(jī)的DataUsage.sqlite文件中刪除”。在CascadeFail中，“文件的ZPROCESS表中的條目被刪除，但ZLIVEUSAGE表中引用已刪除ZPROCESS條目的條目不會被刪除。”

　　他們說，這有NSO Group特有的標(biāo)志：“我們只見過這種與NSO Group的Pegasus間諜軟件相關(guān)的不完整刪除，我們相信該漏洞的獨(dú)特性足以指向NSO。”

　　另一個明顯的跡象：ForcedEntry漏洞安裝的多個進(jìn)程名稱，包括“setframed”。根據(jù)Citizen Lab的說法，該進(jìn)程名稱在2020年7月用NSO集團(tuán)的Pegasus間諜軟件攻擊半島電視臺記者時被使用：監(jiān)管機(jī)構(gòu)沒有更多透露當(dāng)時的細(xì)節(jié)。

　　零點(diǎn)擊遠(yuǎn)程漏洞利用，例如Pegasus間諜軟件在受害者不知情或根本不需要點(diǎn)擊任何東西的情況下隱形感染Apple設(shè)備的新穎方法，被用來感染一名受害者長達(dá)六個月之久。對于想要秘密監(jiān)視目標(biāo)設(shè)備而不被發(fā)現(xiàn)的政府、雇傭軍和罪犯來說，這簡直太完美了。

　　Pegasus是一個強(qiáng)大的間諜軟件：它可以打開目標(biāo)的攝像頭和麥克風(fēng)，以便記錄消息、文本、電子郵件和電話，即使它們是通過Signal等加密消息應(yīng)用程序發(fā)送的。

　　關(guān)于Pegasus的陳詞濫調(diào)

　　NSO長期以來一直堅稱，它只將其間諜軟件出售給少數(shù)經(jīng)過全面審查侵犯人權(quán)行為的國家內(nèi)的情報機(jī)構(gòu)。該公司試圖質(zhì)疑Citizen Lab的方法和動機(jī)，一再保持這種說法。

　　但是，正如端點(diǎn)到云安全公司Lookout的安全解決方案高級經(jīng)理HankSchless所指出的那樣，這種說法現(xiàn)在已經(jīng)相當(dāng)老套了。“最近曝光的5萬個與NSO集團(tuán)客戶目標(biāo)相關(guān)的電話號碼，使得所有人都看透了實(shí)際的情況。”

　　“自從Lookout和公民實(shí)驗(yàn)室于2016年首次發(fā)現(xiàn)Pegasus以來，它一直在不斷發(fā)展，并具有了新的功能。”“它現(xiàn)在可以作為零點(diǎn)擊漏洞進(jìn)行部署，這意味著目標(biāo)用戶甚至不必點(diǎn)擊惡意鏈接即可安裝監(jiān)控軟件。”

　　Schless繼續(xù)說，雖然惡意軟件已經(jīng)調(diào)整了它的傳播方法，但基本的漏洞利用鏈保持不變。“Pegasus是通過針對目標(biāo)進(jìn)行社會工程的惡意鏈接傳播的，漏洞被利用，設(shè)備遭到破壞，然后惡意軟件會返回給命令和控制（C2）服務(wù)器，讓攻擊者可以自由控制設(shè)備。許多應(yīng)用程序會自動創(chuàng)建鏈接預(yù)覽或緩存，以改善用戶體驗(yàn)。Pegasus利用此功能以靜默感染設(shè)備。”

　　Schless說，這是一個例子，說明個人和企業(yè)組織了解其移動設(shè)備存在的風(fēng)險是多么重要，Pegasus只是一個“極端但易于理解的例子”。

　　“有無數(shù)的惡意軟件可以輕松利用已知的設(shè)備和軟件漏洞來訪問您最敏感的數(shù)據(jù)。”“從企業(yè)的角度來看，將移動設(shè)備排除在更大的安全策略之外可能造成保護(hù)整個基礎(chǔ)設(shè)施免受惡意行為者攻擊的能力上的重大差距。一旦攻擊者控制了移動設(shè)備，甚至泄露了用戶的憑據(jù)，他們就可以自由訪問您的整個基礎(chǔ)設(shè)施。一旦他們進(jìn)入您的云或本地應(yīng)用程序，他們就可以橫向移動并識別敏感資產(chǎn)從而進(jìn)行加密以進(jìn)行勒索軟件攻擊或是泄露給出高價的購買者。”

　　統(tǒng)一訪問編排提供商Pathlock的總裁凱文·鄧恩（KevinDunne）指出，Pegasus感染表明企業(yè)需要超越將服務(wù)器和工作站作為網(wǎng)絡(luò)攻擊和間諜活動的主要目標(biāo)的想法。“移動設(shè)備現(xiàn)在被廣泛使用，并且包含需要保護(hù)的敏感信息。”

　　鄧恩說，為了保護(hù)自己免受間諜軟件的侵害，企業(yè)應(yīng)該審視他們的移動設(shè)備安全策略，尤其是當(dāng)威脅以遠(yuǎn)比安全團(tuán)隊(duì)培訓(xùn)用戶所防御的可疑SMS消息或釣魚鏈接更陰險的形式出現(xiàn)時。

　　“間諜軟件攻擊者現(xiàn)在設(shè)計了零點(diǎn)擊攻擊，能夠通過使用第三方應(yīng)用程序甚至內(nèi)置應(yīng)用程序中的漏洞來完全訪問手機(jī)的數(shù)據(jù)和麥克風(fēng)/攝像頭。”“組織需要確保他們能夠控制用戶下載到手機(jī)上的應(yīng)用程序，并確保這些應(yīng)用程序是最新的，以便修補(bǔ)任何漏洞。”