苹果发现Pegasus间谍软件后发布紧急补丁
Apple已发布紧急更新以修补臭名昭著的Pegasus移动间谍软件所利用的严重漏洞。
CVE-2021-30860漏洞是多伦多大学公民实验室的研究人员在分析感染了NSO Group的Pegasus间谍软件的匿名沙特活动家的iPhone时发现的。他们发现了针对iMessage的零日零点击漏洞,该团队将其称为“FORCEDENTRY”。该漏洞通过针对Apple的渲染库感染设备,并且对Apple iOS、MacOS和WatchOS设备有效。
Citizen Lab对NSO Group的漏洞利用进行了“高度自信的归因”,它认为该漏洞至少自2021年2月以来一直在使用。进一步说明,像NSO Group这样的公司正在为不负责任的政府安全机构提供“专制即服务”。迫切需要对这个不断增长、高利润和有害的市场进行监管。
在实验室将他们的发现细节报告给苹果后,这家科技巨头迅速发布了补丁。现在敦促Apple客户立即使用最新更新更新他们的设备,该漏洞影响所有iOS版本低于14.8的iPhone、所有操作系统版本低于OSX Big Sur 11.6的Mac计算机、安全更新2021-005 Catalina,以及watchOS 7.6.2之前的所有Apple Watch。
在一份声明中,Apple安全工程和架构负责人Ivan Krstić表示:“像所描述的那样的攻击非常复杂,开发成本数百万美元,通常保质期很短,并且用于针对特定个人。”他还向客户保证,该漏洞“不会对我们绝大多数用户构成威胁”。
以色列公司NSO Group经常成为围绕专制政府不道德使用Pegasus的众多争议的中心。Facebook正在对该公司采取法律行动,理由是该公司涉嫌利用WhatsApp中的漏洞使其客户能够监视全球1400多名用户,并且还在被谋杀的沙特记者贾马尔·卡舒吉 (Jamal Khashoggi)的手机上发现了该间谍软件。
CNN引用了一份新的NSO集团声明,该声明没有直接解决这些指控。它表示:“NSO集团将继续为世界各地的情报和执法机构提供拯救生命的技术,以打击恐怖主义和犯罪。”
Cybereason首席安全官Sam Curry评论这个故事,说道:
周一针对iPhone、Apple Watch和Mac中发现的一个关键漏洞的紧急软件更新不应引起恐慌。这种最新的Pegasus间谍软件传送机制是新颖的、侵入性的,可以轻松感染数十亿Apple设备,但请保持冷静,只需控制您的设备并从Apple下载可用的软件更新。
如果您认为自己受到感染,请按照Apple的说明进行操作,并在工作、学校等场所咨询您的IT部门。否则,Apple的Genius Bar将能够提供帮助。全球有近20亿部iPhone、1亿只Apple Watch和超过1亿台Mac被使用,安全性对Apple来说不是奢侈品,而且不是,这是他们认真对待的责任。
ExtraHop的CTO兼联合创始人Jesse Rothstein补充说:
我们都携带高度复杂的个人设备,这些设备对个人隐私有着深远的影响。有很多这样的例子,比如应用程序数据收集——苹果最近通过其应用程序跟踪透明度框架来遏制这种情况。
任何足够复杂的系统都有可以被利用的安全漏洞,手机也不例外。
Pegasus是如何利用未知漏洞访问高度敏感的个人信息的一个例子。NSO小组是政府如何从本质上外包或购买武器化网络能力的一个例子。在我看来,这与军火交易没有什么不同——只是没有那样监管。公司总是不得不修补他们的漏洞,但法规将有助于防止其中一些网络武器被滥用或落入坏人之手。