沙特女权活动家通过其iPhone揭发了世界各地的黑客攻击活动

沙特女权活动家通过其iPhone揭发了世界各地的黑客攻击活动

Al-Hathloul是沙特阿拉伯最著名的活动家之一，以帮助领导一场结束沙特阿拉伯女性司机禁令的运动而闻名。然而，她因危害国家安全被沙特拘留三年，并于2021年2月获释，被禁止离开该国。

在她获释后不久，她收到了来自谷歌的警告，称她的Gmail成为国家支持黑客的渗透目标。她担心自己的iPhone也被黑客入侵了，所以她联系了加拿大多伦多大学的Citizen Lab，请求研究人员帮助寻找证据。

在挖掘她的iPhone记录六个月后，Citizen Lab研究员Bill Marczak描述了他前所未有的发现。Marczak称，植入到手机的间谍软件的bug导致它留下了恶意图像问题的副本，间谍软件没有在窃取目标信息之后删除文件。攻击留下的计算机代码的发现提供了NSO构建间谍工具的直接证据。

Citizen Lab和al-Hathloul的调查结果为Apple在2021年11月对NSO提起诉讼提供了依据。NSO的间谍软件不需要用户点击，而这种零点击恶意软件通常会在感染目标后自行删除，因此研究人员无法找到要调查的恶意程序样本。但Marczak和他的团队发现间谍软件出现故障，留下了可以研究的样本。

研究人员发现，间谍软件通过隐形短信发送目标图像文件，诱使iPhone允许其访问全部内存，绕过安全防御并允许其安装间谍软件以窃取用户信息。除了NSO，安全研究人员还发现第二家以色列公司QuaDream也利用了相同的iPhone漏洞。

通信技术的快速发展，推动间谍软件的应用

随着通信技术的飞速发展，传统的合法拦截技术已经不能满足获取目标通信信息的需求，从而推动了间谍软件越来越广泛的应用。在过去的一年里，包括国际新闻合作组织Pegasus在内的记者和活动人士的一系列爆料将间谍软件行业与侵犯人权行为联系起来，推动了对NSO及其同行的更严格审查。

然而，安全研究人员表示，Al-Hathloul的发现为一种强大的新型网络间谍活动提供了第一个网络安全蓝图，这是一种无需用户交互即可渗透设备的黑客工具，提供了迄今为止最具体的武器范围证据。

间谍软件的类型被称为“零点击”，这意味着用户可以在不点击恶意链接的情况下被感染。零点击恶意软件通常在感染用户后自行删除，使研究人员和技术公司没有武器样本可供研究。安全研究人员表示，几乎不可能收集到iPhone被黑客入侵的确凿证据。

但这次不同的是软件故障使间谍软件的副本隐藏在al-Hathloul的iPhone上，使研究员Marczak和他的团队能够获得攻击的虚拟蓝图和制造者的证据。Marczak团队发现，间谍软件的部分工作原理是通过一条不可见的短信向al-Hathloul发送图片文件。图像文件诱使iPhone访问其整个内存，绕过安全性并允许安装间谍软件，从而窃取用户的信息。

在al-Hathloul的设备上发现的间谍软件包含的代码显示它正在与Citizen Lab之前确定为由NSO控制的服务器进行通信。Citizen Lab将这种新的iPhone黑客方法命名为“ForcedEntry”。研究人员随后于去年9月将样本提供给了苹果公司。

掌握了攻击蓝图后，Apple可以修复关键漏洞，并让他们通知数以千计被NSO软件攻击的其他iPhone用户，警告他们已成为“国家支持的攻击者”的目标。据悉在苹果公司警告的那些人中，至少有9名美国国务院在乌干达的员工成为NSO软件的目标，这在华盛顿引发了对该公司的新一轮批评。

Apple于去年11月在联邦法院起诉NSO，指控该间谍软件制造商违反了美国法律，制造了旨在“针对、攻击和伤害Apple用户、Apple产品和Apple”的产品。同月，美国商务部将NSO列入贸易黑名单，限制美国公司销售以色列公司的软件产品，威胁到其供应链。