蘋果發現Pegasus間諜軟件后發布緊急補丁

Apple已發布緊急更新以修補臭名昭著的Pegasus移動間諜軟件所利用的嚴重漏洞。

CVE-2021-30860漏洞是多倫多大學公民實驗室的研究人員在分析感染了NSO Group的Pegasus間諜軟件的匿名沙特活動家的iPhone時發現的。他們發現了針對iMessage的零日零點擊漏洞，該團隊將其稱為“FORCEDENTRY”。該漏洞通過針對Apple的渲染庫感染設備，并且對Apple iOS、MacOS和WatchOS設備有效。

Citizen Lab對NSO Group的漏洞利用進行了“高度自信的歸因”，它認為該漏洞至少自2021年2月以來一直在使用。進一步說明，像NSO Group這樣的公司正在為不負責任的政府安全機構提供“專制即服務”。迫切需要對這個不斷增長、高利潤和有害的市場進行監管。

在實驗室將他們的發現細節報告給蘋果后，這家科技巨頭迅速發布了補丁。現在敦促Apple客戶立即使用最新更新更新他們的設備，該漏洞影響所有iOS版本低于14.8的iPhone、所有操作系統版本低于OSX Big Sur 11.6的Mac計算機、安全更新2021-005 Catalina，以及watchOS 7.6.2之前的所有Apple Watch。

在一份聲明中，Apple安全工程和架構負責人Ivan Krsti?表示：“像所描述的那樣的攻擊非常復雜，開發成本數百萬美元，通常保質期很短，并且用于針對特定個人。”他還向客戶保證，該漏洞“不會對我們絕大多數用戶構成威脅”。

以色列公司NSO Group經常成為圍繞專制政府不道德使用Pegasus的眾多爭議的中心。Facebook正在對該公司采取法律行動，理由是該公司涉嫌利用WhatsApp中的漏洞使其客戶能夠監視全球1400多名用戶，并且還在被謀殺的沙特記者賈馬爾·卡舒吉 (Jamal Khashoggi)的手機上發現了該間諜軟件。

CNN引用了一份新的NSO集團聲明，該聲明沒有直接解決這些指控。它表示：“NSO集團將繼續為世界各地的情報和執法機構提供拯救生命的技術，以打擊恐怖主義和犯罪。”

Cybereason首席安全官Sam Curry評論這個故事，說道：

周一針對iPhone、Apple Watch和Mac中發現的一個關鍵漏洞的緊急軟件更新不應引起恐慌。這種最新的Pegasus間諜軟件傳送機制是新穎的、侵入性的，可以輕松感染數十億Apple設備，但請保持冷靜，只需控制您的設備并從Apple下載可用的軟件更新。

如果您認為自己受到感染，請按照Apple的說明進行操作，并在工作、學校等場所咨詢您的IT部門。否則，Apple的Genius Bar將能夠提供幫助。全球有近20億部iPhone、1億只Apple Watch和超過1億臺Mac被使用，安全性對Apple來說不是奢侈品，而且不是，這是他們認真對待的責任。

ExtraHop的CTO兼聯合創始人Jesse Rothstein補充說：

我們都攜帶高度復雜的個人設備，這些設備對個人隱私有著深遠的影響。有很多這樣的例子，比如應用程序數據收集——蘋果最近通過其應用程序跟蹤透明度框架來遏制這種情況。

任何足夠復雜的系統都有可以被利用的安全漏洞，手機也不例外。

Pegasus是如何利用未知漏洞訪問高度敏感的個人信息的一個例子。NSO小組是政府如何從本質上外包或購買武器化網絡能力的一個例子。在我看來，這與軍火交易沒有什么不同——只是沒有那樣監管。公司總是不得不修補他們的漏洞，但法規將有助于防止其中一些網絡武器被濫用或落入壞人之手。