彩信指紋：以色列間諜軟件可無感知偵查全球智能手機信息

研究人員發現，以色列NSO集團的客戶合同里提到一項彩信指紋技術，可以無感知偵查全球任意智能手機的系統信息，可結合其間諜軟件實施定向針對性植入；調查后研究員發現，NSO并未利用漏洞，而是濫用了彩信機制，并成功復現了這一攻擊手法。通信運營商可通過配置使用戶規避這一攻擊。

2月22日消息，瑞典網絡安全公司Enea的研究人員發現，以色列NSO集團提供了一種前所未知的技術，可以將其臭名昭著的“飛馬”手機間諜軟件工具，部署到全球范圍內任意特定個人的移動設備上。

這名研究員在調查一份NSO集團轉銷商與加納電信監管機構的合同條款時，發現了這一技術。

這份合同屬于2019年WhatsApp與NSO集團訴訟的法庭公開文件的一部分，前者指控NSO集團利用WhatsApp漏洞，在全球范圍內將“飛馬”部署到記者、人權活動家、律師等人的設備上。

“飛馬”的零點擊設備識別

根據合同描述的“MMS指紋”，NSO客戶只需發送一條多媒體短信（國內一般叫彩信，簡稱MMS）消息，即可獲取目標的黑莓、安卓或iOS設備及其操作系統版本的詳細信息。

合同指出：“不需要用戶交互、參與或打開消息，就能獲取設備指紋。”

Enea研究員Cathal McDaid在上周的一篇博文中表示，他決定調查上述文件，因為“MMS指紋”并非行業內常見的術語。

McDaid寫道：“雖然我們必須考慮到，NSO集團可能只是‘虛構’或夸大其所宣稱的能力（根據經驗，監視公司經常吹噓其能力），但是，這是一份合同而非廣告，這表明它更有可能是真實的。”

彩信機制可被濫用采集指紋

通過調查，McDaid很快得出結論，NSO集團合同中提到的技術可能與彩信流程本身，而非任何特定操作系統的漏洞有關。

McDaid寫道，該流程的第一步通常是發送者設備首次向發送者的多媒體短信中心（MMSC）提交彩信消息。然后，發送者的MMSC將該消息轉發給接收者的MMSC。后者隨即通知接收者設備有等待接收的彩信消息。最后，接收者設備從其MMSC收取消息。

該研究員繼續寫道，由于開發者引入彩信功能時，并非所有移動設備都兼容MMS服務，他們決定使用一種特殊類型的短信（稱為“WSP推送”）向接收者設備通知接收者的MMSC中有待處理彩信消息。隨后的收取請求實際上不是彩信，而是發送到通知中內容位置字段所列內容URL的一條HHTP GET請求。

McDaid寫道，“有趣的是，這條HTTP GET請求包含了用戶設備信息。”他總結說，這很可能是NSO集團獲取目標設備信息的方式。

圖：黃色部分為攻擊者獲取的設備系統信息

McDaid使用一家西歐電信運營商的部分樣本SIM卡對他的理論進行測試。經過反復試驗，他成功獲取了測試設備的用戶代理信息和HTTP頭信息，這些信息描述了設備的能力。他得出結論，如使用這些信息，NSO集團的行動者可以利用移動操作系統中的特定漏洞，或者為目標設備定制“飛馬”和其他惡意負載。

他指出，“這些信息還可以用來更有效地策劃針對設備使用者的網絡釣魚活動。”

McDaid表示，他在過去幾個月的調查中尚未發現有人利用這種技術。

參考資料：https://www.darkreading.com/application-security/nso-group-adds-mms-fingerprinting-zero-click-attack-spyware-arsenal