研究人员：苹果和谷歌应该提供更多对 iOS 和 Android 系统内部的访问，以帮助实时捕获更多类似 Pegasus 的间谍软件的攻击

长期以来，私人间谍软件的阴暗世界一直引起网络安全界的警觉，因为威权政府一再被发现以从不道德的经纪人处购买的恶意软件为目标，攻击活动家、记者和政治对手的智能手机。这些公司提供的监控工具经常针对 iOS 和 Android，它们似乎无法跟上威胁的步伐。但一份新报告表明，问题的规模远比人们担心的要严重——并且给寻求补救措施的安全研究人员施加了对移动技术制造商，尤其是苹果公司的更大压力。本周，来自大赦国际、Forbidden Stories 和十多个其他组织的研究人员和记者组成的国际小组公布了法医证据，表明世界各地的许多政府——包括匈牙利、印度、墨西哥、摩洛哥、沙特阿拉伯和阿拉伯联合酋长国阿联酋航空——可能是臭名昭著的以色列间谍软件供应商 NSO Group 的客户。研究人员研究了一份泄露的 50,000 个电话号码列表，这些电话号码与活动家、记者、高管和政客有关，这些人都是潜在的监视目标。他们还专门研究了 37 种被 NSO 侵入性 Pegasus 间谍软件感染或攻击的设备。他们甚至创建了一个工具，以便您可以检查您的 iPhone 是否已被盗用。 NSO Group 周二在措辞强烈的否认中称这项研究是“媒体财团的虚假指控”。 NSO Group 发言人表示：“该列表不是 Pegasus 目标或潜在目标的列表。列表中的数字与 NSO Group 没有任何关系。任何声称列表中的名称必然与 Pegasus 目标相关的声明或潜在目标是错误和虚假的。”周三，NSO Group 表示将不再回应媒体询问。NSO Group 并不是唯一的间谍软件供应商，但它的知名度最高。WhatsApp 在 2019 年起诉该公司，称其声称攻击了超过一千个其用户。今年早些时候在 iOS 14 中引入的 Apple 的 BlastDoor 功能试图切断“零点击攻击”，即不需要受害者任何点击或下载的攻击。这种保护似乎没有奏效正如预期的那样；该公司在周二发布了 iOS 补丁，以解决最新一轮涉嫌 NSO Group 黑客攻击。面对这份报告，许多安全研究人员表示，苹果和谷歌都可以而且应该做更多的事情来保护他们的用户独立研究员塞德里克欧文斯说：“这无疑显示了如今移动设备安全和调查能力的总体挑战。” “我还认为，看到 NSO 对 Android 和 iOS 的零点击感染表明，尽管 Apple 对其产品和生态系统施加了大量控制，但有动力和资源的攻击者仍然可以成功。” Apple 与安全社区之间的紧张关系长期以来一直在酝酿中。限制研究人员对 iOS 设备进行取证调查和部署监控工具的能力。更多地访问操作系统可能有助于实时捕获更多攻击，让研究人员首先更深入地了解这些攻击是如何构建的. 目前，安全研究人员依赖于 iOS 中的一小部分指标，加上偶尔的越狱。虽然 Android 在设计上更加开放，但它也限制了所谓的“可观察性”。一些研究人员表示，有效打击像 Pegasus 这样的高级间谍软件需要具备读取设备文件系统的权限、检查正在运行的进程、访问系统日志和其他遥测的能力。

在这方面，很多批评都集中在 Apple 身上，因为该公司历来为其用户提供了比碎片化的 Android 生态系统更强大的安全保护。 SentinelOne 首席威胁研究员 Juan Andres Guerrero-Saade 说：“事实是，我们正要求 Apple 达到更高的标准，因为他们做得更好。” “Android 是免费的。我认为没有人期望 Android 的安全性提高到我们只需要担心零日攻击的针对性攻击的程度。”事实上，国际特赦组织的研究人员表示，与运行原生 Android 的设备相比，在以 Pegasus 恶意软件为目标的 Apple 设备上，他们实际上更容易找到和调查入侵指标。 “根据国际特赦组织的经验，调查人员在 Apple iOS 设备上获得的法医痕迹明显多于在库存 Android 设备上的取证痕迹，因此我们的方法侧重于前者，”该组织在对其 Pegasus 调查结果的冗长技术分析中写道。“因此，最近确认的 Pegasus 感染病例都涉及 iPhone。”对苹果的一些关注还源于该公司自身在产品设计和营销中对隐私和安全的重视。“苹果正在尝试，但问题是他们并没有像他们的声誉所暗示的那样努力，”约翰霍普金斯说大学密码学家马修·格林（Matthew Green）尽管采用更开放的方法，但谷歌也面临着类似的批评，即安全研究人员可以进入其移动操作系统的可见性。

“Android 和 iOS 有不同类型的日志。很难将它们进行比较，”ZecOps 分析集团的首席执行官、长期倡导访问移动系统信息的 Zuk Avraham 说。 “每个都有一个优势，但它们都同样不够充分，并且使威胁行为者能够隐藏。”不过，苹果和谷歌似乎都不愿透露更多数字法医香肠的制作过程。虽然大多数独立安全研究人员都支持这种转变，但有些人也承认，增加对系统遥测的访问权限也会帮助不良行为者。谷歌发言人在给《连线》杂志的一份声明中说：“虽然我们知道持久性日志对取证用途更有帮助，例如大赦国际的研究人员所描述的那些用途，但它们也会对攻击者有所帮助。”“我们不断平衡这些不同的需求。” Apple 安全工程和架构负责人 Ivan Krstić 在一份声明中表示，“Apple 明确谴责针对记者、人权活动家和其他寻求让世界变得更美好的人的网络攻击。十多年来，Apple 在安全创新，因此，安全研究人员一致认为 iPhone 是市场上最安全、最安全的消费移动设备。像所描述的那样的攻击非常复杂，开发成本数百万美元，通常保质期很短，并且用于针对特定个人。虽然这意味着他们不会对我们绝大多数用户构成威胁，但我们将继续不知疲倦地努力保护我们的所有客户，我们不断为他们的设备和数据添加新的保护。诀窍是在提供更多系统指标之间取得适当的平衡，而不会无意中使攻击者的工作变得更容易。“Apple 可以以非常安全的方式做很多事情，以允许对 iOS 设备进行观察和成像，以便捕获iOS 安全研究员 Will Strafach 表示，这种不良行为似乎并没有被视为优先事项。“我相信他们对此有合理的政策原因，但我不同意并且会喜欢这种行为看到这种想法的变化。”防病毒制造商 Malwarebytes 的 Mac 和移动平台主管 Thomas Reed 表示，他同意对 iOS 的更多了解将有利于用户防御。但他补充说，允许使用特殊的、可信的监控软件会带来真正的风险。他指出，有macOS 上已经存在可疑和潜在有害程序但防病毒软件无法完全删除，因为操作系统赋予它们这种特殊类型的系统信任，可能会出错。同样的流氓系统分析工具问题也几乎不可避免地出现在 iOS 上. “我们还一直在桌面系统上看到民族国家恶意软件，这些恶意软件在经过几年未被发现的部署后才被发现，”里德补充道。 “这是在已经有许多不同安全解决方案可用的系统上。许多寻找此恶意软件的人总比少数人好。我只是担心我们必须用什么来换取这种知名度。”

Pegasus 项目，正如研究人员联盟所说的新发现，强调了这样一个现实，即苹果和谷歌不太可能单独解决私人间谍软件供应商构成的威胁。 Pegasus 潜在目标的规模和范围表明，可能有必要在全球范围内禁止私人间谍软件。美国国家安全局监视举报人爱德华·斯诺登 (Edward Snowden) 周二在推特上回应 Pegasus 项目的调查结果时说：“暂停入侵软件交易是可信回应的最低限度——仅仅是分类。” “少一点，问题就会变得更糟。”周一，亚马逊网络服务采取了自己的措施，关闭了与 NSO 相关的云基础设施。无论 NSO Group 或整个私人监控市场发生什么情况，用户设备最终仍然是来自任何来源的秘密针对性攻击的发生地。即使不能指望谷歌和苹果自己解决问题，他们也需要继续努力寻找更好的前进方式。 🏃🏽‍♀️ 想要获得健康的最佳工具吗？查看我们的 Gear 团队精选的最佳健身追踪器、跑步装备（包括鞋子和袜子）和最佳耳机