我们又来了:另一个涉及苹果和谷歌智能手机的政府监控案例已经出现,它表明政府支持的攻击可以变得多么复杂,以及为什么有理由完全锁定移动平台。
发生了什么事?
我不打算过分关注新闻,但简而言之如下:
谷歌的威胁分析小组已经发布了揭露黑客攻击的信息。
意大利监控公司 RCS Labs 制造了这次攻击。
该攻击已在意大利和哈萨克斯坦使用,可能还有其他地方。
在 ISP 的帮助下,几代人使用了这种攻击。
在 iOS 上,攻击者滥用了支持内部应用程序部署的 Apple 企业认证工具。
使用了大约九种不同的攻击。
攻击是这样进行的:向目标发送一个独特的链接,旨在诱使他们下载并安装恶意应用程序。 在某些情况下,间谍与 ISP 合作以禁用数据连接以诱骗目标下载应用程序以恢复该连接。
[通过 Computerworld 的时事通讯了解最新的 IT 思想领导力、见解、操作方法和分析。 ]
Apple 已修复这些攻击中使用的零日漏洞。 它之前曾警告说,不良行为者一直在滥用其允许企业在内部分发应用程序的系统。 这些启示与 Lookout Labs 最近发布的名为 Hermit 的企业级 Android 间谍软件的消息相吻合。
有什么风险?
这里的问题是诸如此类的监视技术已经商业化。 这意味着过去只有政府才能使用的能力也被私人承包商使用。 这代表着一种风险,因为高度机密的工具可能会被泄露、利用、逆向工程和滥用。
正如谷歌所说:“我们的调查结果强调了商业监控供应商在多大程度上扩大了以往只有具有技术专长的政府才能开发和实施漏洞利用的能力。 这降低了互联网的安全性,并威胁到用户所依赖的信任。”
不仅如此,这些私人监控公司还让危险的黑客工具得以扩散,同时向政府提供这些高科技窥探设施——其中一些政府似乎喜欢监视持不同政见者、记者、政治对手和人权工作者。
[‘IT 有一个新的’It Crowd’:加入 CIO Tech Talk 社区]
更大的危险是谷歌已经在追踪至少 30 家间谍软件制造商,这表明商业监控即服务行业非常强大。 这也意味着现在理论上即使是最不可信的政府也有可能为此类目的访问工具——鉴于如此多的已识别威胁利用网络犯罪分子识别的漏洞,认为这是另一个鼓励恶意的收入来源似乎是合乎逻辑的 研究。
有什么风险?
问题是:私有化监控的提供者与网络犯罪之间的这些看似密切的联系并不总是朝着一个方向起作用。 这些漏洞——至少其中一些似乎很难被发现,只有政府才有资源能够这样做——最终会泄露。
虽然苹果、谷歌和其他所有人仍然致力于一场猫捉老鼠的游戏,以防止此类犯罪,尽可能地关闭漏洞,但风险在于,任何政府规定的后门或设备安全漏洞最终都会进入商业领域 市场,它将到达犯罪市场。
欧洲数据保护监管机构警告说:“有关 Pegasus 间谍软件的揭露引发了非常严重的问题,即现代间谍软件工具可能对基本权利产生影响,尤其是对隐私权和数据保护权。”
这并不是说安全研究没有正当理由。 任何系统都存在缺陷,我们需要人们有动力去识别它们; 如果没有各种安全研究人员的努力,安全更新根本不会存在。 Apple 向发现其系统漏洞的研究人员支付高达六位数的费用。
接下来发生什么?
今年早些时候,欧盟数据保护主管呼吁禁止使用 NSO Group 臭名昭著的 Pegasus 软件。 事实上,该呼吁走得更远,直接寻求“禁止开发和部署具有 Pegasus 功能的间谍软件”。
NSO Group 现在显然要出售了。
欧盟还表示,如果在特殊情况下使用此类漏洞利用,则应要求 NSO 等公司接受监管监督。 作为其中的一部分,他们必须尊重欧盟法律、司法审查、刑事诉讼权利,并同意不进口非法情报、不滥用国家安全的政治行为并支持公民社会。
换句话说,这些公司需要统一。
你可以做什么
继去年 NSO Group 被曝光后,Apple 发布了以下最佳实践建议,以帮助减轻此类风险。
将设备更新到最新的软件,其中包括最新的安全修复程序。
使用密码保护设备。
为 Apple ID 使用双因素身份验证和强密码。
从 App Store 安装应用程序。
在线使用强而独特的密码。
不要点击来自未知发件人的链接或附件。
