谷歌：黑客利用零日漏洞監控 iPhone、Android 用戶 - 網安 - 專業的網絡安全產業、社區、知識平臺

谷歌：黑客利用零日漏洞監控 iPhone、Android 用戶

近日，谷歌的威脅分析小組 (TAG) 發現了兩個具有高度針對性的移動間諜軟件活動，它們使用零日漏洞針對 iPhone 和 Android 智能手機用戶部署監控軟件。

Google TAG 發現了兩個針對移動設備上的 Android、iOS 和 Chrome 用戶的“不同的、有限的和高度針對性的”活動。這些活動使用零日和 N日漏洞，利用供應商發布漏洞修復程序和硬件制造商使用這些補丁更新最終用戶設備之間的時間，為未打補丁的平臺創建漏洞。

這些發現凸顯了供應商和最終用戶及時修補軟件以防止惡意行為者利用已知漏洞的重要性。這些活動還表明，監控軟件供應商共享漏洞和技術，以促進具有潛在危險的黑客工具的擴散。

第一個活動（CVE-2022-42856；CVE-2022-4135）分別針對 15.1 之前的 iOS 和 Android 版本,以及運行 106 之前的 Chrome 版本的 ARM GPU。

此類攻擊活動中的攻擊負載包括一個簡單的 stager，它可以回測設備的 GPS 位置，并允許攻擊者將 .IPA 文件安裝到受影響的手機上，該文件可用于竊取信息。

該活動針對 Android 和 iOS 設備，初始訪問嘗試通過 Bit.ly URL 短鏈接通過短信發送給位于以下三個國家/地區的用戶：

意大利
馬來西亞
哈薩克斯坦。

第二個活動（CVE-2022-4262；CVE-2023-0266）包括使用零日和 n 日的完整漏洞利用鏈，目標是三星互聯網瀏覽器的最新版本。

此類攻擊活動的有效載荷是一個基于 C++ 的“功能齊全的 Android 間諜軟件套件”，其中包括用于解密和捕獲來自各種聊天和瀏覽器應用程序的數據的庫。

谷歌研究人員懷疑，涉案人員可能是商業間諜軟件供應商 Variston 的客戶、合作伙伴或其他密切關聯方。

值得注意的是，據Hackread.com去年報道，Variston 是一家總部位于巴塞羅那的公司，被谷歌 TAG 曝光，利用 Chrome、Firefox 和 Microsoft Defender 中的 n-day 漏洞，冒充定制網絡安全解決方案提供商。

來自針對意大利用戶的惡意網站之一的示例屏幕截圖

TAG 積極跟蹤商業間諜軟件供應商，目前正在觀察 30 多家，并確定出售給國家支持的參與者的漏洞利用或監視功能。這些危險的黑客工具為政府提供了他們無法在內部開發的監視能力。

這些工具，包括間諜軟件，經常被用來針對持不同政見者、記者、人權工作者和反對黨政客，構成危及生命的風險。

盡管根據大多數國家或國際法律，監視技術的使用通常是合法的，但政府濫用這些法律和技術來針對不符合其議程的個人。

自從政府濫用NSO Group 的 Pegasus 移動間諜軟件針對 iPhone 用戶的行為受到國際關注后，監管機構和供應商一直在打擊商業間諜軟件的生產和使用。

3 月 28 日，拜登政府發布了一項行政命令，限制聯邦政府使用商業監控工具，但谷歌的調查結果表明，這些努力并未阻止商業間諜軟件的出現。

必須加強有關商業間諜軟件生產和使用的法規，以確保它們不會被用于侵犯個人基本權利的目標。

這些發現表明，那些創建漏洞的人正在密切關注他們可以為邪惡目的利用的漏洞，并且很可能串通以最大限度地利用它們來破壞目標設備。

歐洲刑警組織：ChatGPT很有可能被濫用于網絡犯罪

歐洲刑警組織在一篇報告中警告，像ChatGPT這類基于人工智能的系統很可能會被犯罪組織濫用。ChatGPT是一種大型語言模型（LLM），用以處理、操作及生成文本。它能夠回答絕大多數問題、翻譯文本、進行對話交流、甚至是生成代碼。同時，這種技術也可能被犯罪分子用于社會工程攻擊、虛假信息宣傳、開發惡意代碼等犯罪活動。

3月27日，歐洲刑警組織創新實驗室與相關專家組織了一系列研討會，探討犯罪分子會如何濫用 ChatGPT 等大型語言模型，以及它如何協助調查人員的日常工作。會議報告名為“ChatGPT - the impact of Large Language Models on Law Enforcement（ChatGPT - 大型語言模型對執法的影響）”，該報告概述了 ChatGPT 的潛在濫用，并展望了未來可能發生的事情。

歐洲刑警組織的專家們指出，ChatGPT可能為以下三個犯罪領域提供了便利：

1、欺詐和社會工程：ChatGPT高度逼真的文本生成能力使其成為網絡釣魚的有力工具。LLMs語言模式再現能力可用于模仿特定個人或群體的說話風格。

2、假情報：AI擅長快速批量生成真假難辨的聲音文本，用戶能夠借以生成及傳播特定敘述的信息，這使其非常適合宣傳虛假信息。

3、網絡犯罪：只要提供明確的需求，ChatGPT 就能夠使用多種不同的編程語言生成用戶所需的代碼。對于欠缺技術知識的潛在犯罪分子來說，它就是生成惡意代碼的有力工具。

歐洲刑警組織的報告旨在提高人們對LLMs潛在濫用的認識，與人工智能公司開展對話，幫助他們建立更好的保障措施，并促進安全可靠的人工智能系統的發展。報告中特別強調了執法機構需要了解這些技術的積極和消極應用，以便應對未來的挑戰。可以看到，盡管目前AI的發展未臻完美，但其能力與日俱進，任何人都十分有必要提高對其的認知。