网易首页 > 网易手机 > 正文

iOS 9.3.5系统更新背后有个像谍战一样的故事

0
分享至

(原标题:iOS 9.3.5系统更新背后有个像谍战一样的故事)

阿联酋知名民权活动家艾哈迈德·曼苏尔的 iPhone 6收到一条短信,称有“阿联酋监狱虐囚的新秘密”,文末附有超链接。如果他点下链接,这部 iPhone 便会被远程控制,发件人将能看到里面的所有短信、邮件、通话记录,并且可以追踪到屏幕上的每一次点击。甚至,他们可以监听手机周遭的声音,而曼苏尔的 iPhone 屏幕上什么都看不出来。

控制这部手机的,是以希腊神话中的“天马”(Pegasus)命名的黑客工具。

尽管整件事听上去和《谍影重重5》里中情局发起的远程攻击类似,但这不是好莱坞编剧构想的电影情节,而是已经发生的事情。

本周五,苹果发出 iOS 9.3.5系统更新,唯一目的便是为了防御“天马”的攻击。

类似电影情节的攻击

根据苹果公司的公告,iOS 9.3.5修复了三个由公民实验室(Citizen Lab)和 Lookout 提交的安全威胁。前者是多伦多大学国际关系学院下属的技术实验室,后者是一家位于旧金山的移动安全公司,曾曝光过多个手机漏洞。

在苹果发布升级补丁后,Lookout 官方博客刊文介绍了“天马”对 iPhone 的攻击能力。

非常可怕。可怕之处在于,“天马”利用这组漏洞的攻击不仅效果惊人而且悄无声息。

用户只要点击了特定链接,“天马”可以完全不留痕迹地装进用户的 iPhone。链接来源没什么要求,可以是短信、邮件也可以是社交应用,只要打开它就会安装“天马”。

“天马”可以将 iPhone 中所有未经加密的资料上传到指定服务器、并且还可以记录屏幕点击,这样一来就算加密的信息也能拿到了——只要加密就需要输入密码,拿到密码就有一切。

更夸张的是,“天马”可以静默启用 iPhone 的摄像头、麦克风监视主人活动。

除了什么都能干以外,“天马”在反追踪方面也颇下功夫,在4G 联网时它会放慢数据传输速度以避免过快消耗电力或流量。当手机连接 Wi-Fi 的时候则会加快数据偷取,让用户更难以察觉。

苹果8月中旬从 Lookout 和“公民实验室”收到了关于这一组漏洞的报告,在本周五推出安全补丁。

攻击败露是因为一个人权活动家的警觉

根据《纽约时报》的报道,阿联酋人权活动家艾哈迈德·曼苏尔(Ahmed Mansoor)的 iPhone 6 在8 月 10 日的时候,收到了攻击短信。

曼苏尔是“阿联酋五杰”(UAE Five)之一,曾因呼吁民主化改革在 2011 年入狱。作为一个工程师背景的异见人士,曼苏尔收到陌生人发来的短信后没有点链接,而是转给了“公民实验室”。

随后“公民实验室”和合作伙伴 Lookout 一路挖掘到了“天马”的起源。

阿联酋人权活动家艾哈迈德·曼苏尔

和电影里经常出现的黑客工具不同,“天马”不是什么天才少年黑客的作品,而是来自以色列科技公司 NSO Group Technologies。这套系统此前曾被曝光,但当时它所攻击的对象只是黑莓以及部分 Android 手机,不包括 iPhone。

NSO 开发出“天马”后,以平均 25000 美元攻击一个目标的价格向政府机构兜售。根据巴拿马地方报纸 La Prensa 去年调查政府非法监控丑闻时获得的信息,NSO 以 800 万美元的价格打包出售了针对 300 台设备的攻击。

但 NSO 公司声明称,曼苏尔手机被监控的情况公司并不知情。NSO 辩解说,他们的产品销售透明且合法,主要的目的适用于政府打击恐怖主义犯罪,间谍软件他们只卖给认可的政府组织。但 NSO 也说,至于软件卖出了具体要干什么,NSO 只是要求和建议,但并不负责。

2013 年,NSO 联合创始人 Omri Lavie 在接受《美国国防新闻周刊》的采访时称,他们能完全不被察觉地进入被监视对象的生活,不留痕迹。如今看来,所言非虚。

最安全的系统也不可能保证绝对安全

这次被攻破的 iOS 实际上几乎是普通消费者能买到的最安全的智能手机。

苹果除了互联网产品上常见的两步验证,还在旗下产品上启用了 two-factor 双重设备验证,引入硬件加密。

当你在其它地方登陆 Apple 账户的时候,双重设备验证会往你指定的硬件产品上发送验证码才能继续登陆。相比通过传统的两步验证,双重设备验证更加安全。

苹果双重设备验证,比互联网服务常用的两步验证更加安全

库克年初在用户隐私问题上公开反抗美国政府之后,进一步推进了全线产品的加密。

但此次被暴露出的 iOS 漏洞比美国政府“公开”希望获得的后门还要严重得多。

这是数字安全的现实,即便是业内最有钱的公司全力以赴,也不可能保证绝对安全。总是有人发现漏洞、公司再去补上。

这也是为什么美国主要科技公司在不留后门的事上为何如此步调一致——连想堵都堵不上,更别提刻意给人留一扇门了。

此次 iOS 的高危漏洞,如果曼苏尔欠一点警觉,或者攻击者准备得再周密一些,可能还会继续存在一段时间。

而用户更多的 Android 平台的漏洞就更多了,8 月份就有两个非常大的:Android 使用的 Linux 3.6 内核的一个漏洞可以让黑客通过网页访问嗅探用户的账号和密码,80% 的 Android 设备中招;另一个漏洞是高通芯片带来的,9 亿使用高通芯片的 Android 设备面临被黑客静默植入高权限木马的危险,而且修复补丁何时实装也遥遥无期。

不是名人你也不安全

关于数字安全一个常见的论调是,“我又不反动,有什么好怕的”。

的确,“天马”太贵了,不是重点目标,大概不会有人花十几万来获取你手机上的信息。(如果你还担心,可以用这个应用查一下)

但没人知道下一个系统漏洞会被什么人发现,下一个互联网公司的服务器会被什么人攻破。

不是每个黑客都像 NSO 公司有能力把武器高价卖给政府。要是下一个高危漏洞被一个急着换钱的黑客找到,可能就会变成一个大批量攻击的工具。

被人看短信、丢一个社交网络的密码或者邮箱密码,听上去可能不是特别大的事。但通过这些信息,攻击者有可能获得你的身份证号码、人际关系、出行计划,并将它们卖给诈骗者。

极少有人会相信中奖打 10 万过去的随机诈骗短信。但当骗子知道足够多的信息,而你又恰好在压力很大的时候,被骗的可能性就会大大增加。

比如“网购订单支付出现问题”、“你乘坐的航班被取消,请联络 xxx”的诈骗短信都屡屡成功。

这么做你的信息会安全一点

不要为省几块钱越狱。

收到提示后,及时升级操作系统。厂商的安全人员再努力也架不住你不升级系统。

不回复任何类似验证码的信息,有用户被人利用验证码的回复攻破了手机号码,偷走了所有存款。

不要使用相同的密码。近期 Dropbox 重置了一大批用户的密码,这些用户是 2012 年以后就没改过密码的人群,Dropbox 认为他们的账号有被撞库侵入的风险。

至少保住最关键的账号。很少有人能记得几十个复杂密码,你可以给特别不重要的服务都用相同的简单密码。但确保最关键的账号,比如支付宝、微信、Gmail、苹果账号用上不同的密码。

用 1Password 之类不上传到服务器的工具管理多密码,或者使用一种黑客永远也没法攻破的工具——拿笔写在本子上。

使用两步验证或者授权验证登陆。尽管通过短信的两步验证也有被攻破的风险,但有它远比没有安全。使用苹果设备的要开启 two-factor 双重验证。

付款尽可能使用跳转到支付宝和微信的应用支付、少填银行卡号。今年一月,凯悦酒店集团的系统被黑客攻破,数百万客户的信用卡卡号和 CVV 码泄露——足以制卡盗刷,不需要支付密码。

海淘或为海外互联网服务付费的时候,尽量用 Paypal、Stripe、亚马逊之类的渠道支付,减少信用卡信息泄露的可能。

对于不常用的海外互联网服务,可以考虑买充值卡消费——同样是为了减少信用卡信息泄露。

注册互联网服务的时候尽量用邮箱,而不是更方便的手机号登录。当手机号和其它个人信息一同泄露,有可能帮助诈骗者编出更好的故事。大多数公司的短信验证都调用第三方服务,即便你相信自己注册的服务品牌,也没理由相信提供短信验证的公司。

如果实在不想用邮箱注册,微信也能提高安全性,它的登陆系统只授权名字和头像,对方能获得的信息比较少。

总之,填个人信息的时候不要那么实诚。在非绝对必要的情况外,少填真实个人信息,信息越多越容易被社会工程学利用。

访问:

苹果在线商店(中国)

相关推荐
热点推荐
俄罗斯宣布:芬兰已成核打击目标!

俄罗斯宣布:芬兰已成核打击目标!

看看新闻Knews
2026-07-03 13:09:37
出大事了!让俄舰队损失惨重的大杀器来南海了,目标更是直指中国

出大事了!让俄舰队损失惨重的大杀器来南海了,目标更是直指中国

锅锅爱历史
2026-07-04 07:05:00
萨哈:若这次遗憾出局,或许会坚定C罗征战下届世界杯的想法

萨哈:若这次遗憾出局,或许会坚定C罗征战下届世界杯的想法

林子说事
2026-07-04 10:09:12
曾志伟单干拍新剧,TVB老将集体出走,港娱生态悄悄变了

曾志伟单干拍新剧,TVB老将集体出走,港娱生态悄悄变了

乡野小珥
2026-07-04 17:44:35
泪目!40岁佛得角门神感人发言:我的国家很小很穷 但我们充满韧性

泪目!40岁佛得角门神感人发言:我的国家很小很穷 但我们充满韧性

风过乡
2026-07-04 10:59:24
九华山美女道士,靠身体施法“日进斗金”,8个男徒弟曝光内幕

九华山美女道士,靠身体施法“日进斗金”,8个男徒弟曝光内幕

苏大强专栏
2025-05-08 15:16:18
混双颁奖!王楚钦严肃,莎莎情绪不高,合影时祝贺对手展大将风度

混双颁奖!王楚钦严肃,莎莎情绪不高,合影时祝贺对手展大将风度

篮球资讯达人
2026-07-04 13:33:27
上海一男子竞选楼组长,被当众宣读犯罪记录,男子感到气愤当场报警;警方回应:确有此事,已告知其维权途径

上海一男子竞选楼组长,被当众宣读犯罪记录,男子感到气愤当场报警;警方回应:确有此事,已告知其维权途径

大风新闻
2026-07-04 10:31:27
55年毛主席突发奇想去下馆子,席间突然低声问高智:你工资多少了

55年毛主席突发奇想去下馆子,席间突然低声问高智:你工资多少了

搜史君
2026-07-03 06:45:11
168厘米硅胶仿生人上架预售,30多公斤,还会记住你的每一句话

168厘米硅胶仿生人上架预售,30多公斤,还会记住你的每一句话

泠泠说史
2026-07-02 11:22:10
哈梅内伊遗体告别仪式上,伊朗议长哭到身体不停颤抖,穆杰塔巴未出席,其岳父现身仪式

哈梅内伊遗体告别仪式上,伊朗议长哭到身体不停颤抖,穆杰塔巴未出席,其岳父现身仪式

极目新闻
2026-07-04 13:39:08
范志毅没说谎! 千万赞助款刚到位, 董路就拿100W分给月薪三千老兄弟

范志毅没说谎! 千万赞助款刚到位, 董路就拿100W分给月薪三千老兄弟

寒律
2026-07-04 10:24:35
世界杯1/8决赛:葡萄牙vs西班牙,巴西vs挪威,阿根廷vs埃及

世界杯1/8决赛:葡萄牙vs西班牙,巴西vs挪威,阿根廷vs埃及

懂球帝
2026-07-04 11:35:32
三方交易流产!布朗加盟火箭,斯通拒绝拆队,波士顿却成最大输家

三方交易流产!布朗加盟火箭,斯通拒绝拆队,波士顿却成最大输家

体育大朋说
2026-07-03 16:35:18
感谢邓利维!11号秀6中6轰19分5板6助:这次水不了!

感谢邓利维!11号秀6中6轰19分5板6助:这次水不了!

运筹帷幄的篮球
2026-07-04 18:04:01
紧张!比赛最后时刻,镜头给到看台上的西蒙尼

紧张!比赛最后时刻,镜头给到看台上的西蒙尼

天光破云来
2026-07-04 08:56:05
世界杯淘汰赛16强:明天这场球,法国能赢,但得脱层皮!

世界杯淘汰赛16强:明天这场球,法国能赢,但得脱层皮!

寒律
2026-07-04 10:10:32
女子在洗浴店赤身吹头发时遭男顾客闯入,警方:系外地游客,因醉酒误入女浴室,未进行处罚,女顾客和店方已协商解决

女子在洗浴店赤身吹头发时遭男顾客闯入,警方:系外地游客,因醉酒误入女浴室,未进行处罚,女顾客和店方已协商解决

扬子晚报
2026-07-03 18:58:01
40架歼-10C+4架空警-500,俄罗斯垄断被打破,北非天空要变天

40架歼-10C+4架空警-500,俄罗斯垄断被打破,北非天空要变天

止戈军是我
2026-07-03 13:03:51
中资拆除生产线,连夜回国!日本印度马上宣称要与印尼搞镍矿合作

中资拆除生产线,连夜回国!日本印度马上宣称要与印尼搞镍矿合作

阿龙聊军事
2026-07-04 09:25:21
2026-07-04 19:04:49

头条要闻

普京首次承认俄缺油 消息人士:拟从日本进口航空燃油

头条要闻

普京首次承认俄缺油 消息人士:拟从日本进口航空燃油

体育要闻

揭法国锋线最大优势 有人比姆巴佩还快?

娱乐要闻

白鹿打戏抠图惹非议 连累丞磊遭扒皮

财经要闻

韩国股市杠杆失控:450亿美元资金狂飙

科技要闻

韬定律论文V2版,充工程细节和实测数据

汽车要闻

方程豹钛9内饰曝光 用上了长联屏设计/下半年上市

态度原创

本地
数码
教育
公开课
军事航空

本地新闻

国内足球之旅?这座小城给你高分答案

数码要闻

三星首款骨传导耳机Galaxy Able曝光

教育要闻

已知36➗△✖️3=4,求△=?

公开课

李玫瑾:为什么性格比能力更重要?

军事要闻

普京宣布俄军“完全解放”卢甘斯克

无障碍浏览 进入关怀版
×