https://www.ft.com/content/898e14b1-a4e1-4443-8d9a-8b5ff5238396

在 NSO 商业间谍软件监控后,苹果在 iPhone 安全性方面面临压力

苹果表示,相关攻击非常复杂,开发成本为数百万美元,意味着对绝大多数用户不会构成威胁

苹果(Apple)正面临与硅谷竞争对手加强合作、以抵御监控技术的普遍威胁的压力。此前一份报告称,NSO Group 的 Pegasus 间谍软件被用于攻击记者和人权活动人士。

国际特赦组织(Amnesty International)分析了被 NSO 客户攻击的数十台智能手机,表示他们甚至在最新版本的 iPhone 和 iOS 软件中都发现了漏洞,这「撕毁」了苹果声称其设备具有超高安全性和隐私性的营销宣传。

「可能有数千台 iPhone 被入侵,」国际特赦组织科技部副主任丹娜・英格尔顿(Danna Ingleton)表示,「这是一项全球关切——任何人、每个人都有风险,而就连苹果这样的科技巨头都难以对付这样大规模的监控。」

安全研究人员表示,苹果可以采取更多行动来解决问题,方式包括与其他科技公司合作,分享漏洞细节并检查他们的软件更新。

移动安全供应商 Lookout 的首席策略官阿龙・科克里尔(Aaron Cockerill)表示:「遗憾的是,苹果在合作方面做得很糟。」他形容 iOS 相比于谷歌(Google)的安卓(Android)系统而言就像是个「黑匣子」,而在安卓系统里「识别恶意行为要容易得多」。

国际特赦组织与新闻业非营利组织「禁闻」(Forbidden Stories)及 17 家媒体伙伴合作开展「Pegasus 项目」,以识别其声称的被监控目标。

NSO 表示,其技术的设计目的仅限于打击罪犯或恐怖分子嫌疑犯,该公司称 Pegasus 项目的指称是「不实指控」,而且「充满了错误的假设和未经证实的理论」。

国际特赦组织的研究发现,数次在 iPhone 上盗取数据和窃听的尝试是通过苹果的 iMessage、利用所谓的「零点击」(zero-click)攻击实现的,这种攻击不需要用户点击链接就能启动。

广泛记录 NSO 攻击手段的非营利组织 Citizen Lab 的研究员比尔・马尔恰克(Bill Marczak)表示,国际特赦组织的发现表明,苹果「在 iMessage 安全方面存在严重问题,堪比五级火警」。

2019 年曾发现一种类似的「零点击」Pegasus 攻击,其利用的是 Facebook 旗下的 WhatsApp 短信应用。

WhatsApp 负责人威尔・卡思卡特(Will Cathcart)称,最新发现是「对互联网安全的一记警钟」。他在一系列推文上指出,谷歌、微软(Microsoft)、思科(Cisco)等科技企业已在采取行动,寻求抵御 Pegasus 和其他商业间谍软件工具。

但苹果长期以来与 Facebook 就 iPhone 隐私控制问题不和,不在他的合作伙伴名单之中。

卡思卡特说:「我们需要更多公司,关键的是,需要更多政府,采取措施追究 NSO 的责任。」

Lookout 的科克里尔表示,尽管苹果「在保护消费者方面做得很好」,但它「应该与像我这样的公司加强合作」,以防范 Pegasus 这类攻击。

科克里尔说:「苹果和谷歌的最大区别在于透明度。」

苹果坚称自己的确与外部安全研究人员合作,但选择不公开这些活动。这包括每年支付数百万「安全赏金」,奖励发现漏洞的人,并向研究人员提供硬件。

苹果在一份声明中说:「十多年来,苹果一直在安全创新方面引领行业,因此,安全研究人员一致认为 iPhone 是市场上最安全、最可靠的消费者移动设备。」

「上述攻击非常复杂,开发成本为数百万美元,通常使用期较短且被用来针对特定的个人。」苹果还表示,「尽管这意味着它们对绝大多数用户不会构成威胁,但我们坚持不懈地保护所有客户,不断为他们的设备和数据添加新的保护措施。

Laminar flow

Financial Times

我们应该学会去理解别人的观点,不仅仅是服从和被告知。

Project Che

我们应该学会去理解别人的观点,不仅仅是服从和被告知。

我们应该学会去理解别人的观点,不仅仅是服从和被告知。
我们应该学会去理解别人的观点,不仅仅是服从和被告知。
时代的水流漫过了每一只筏子,浸湿了我们的脚,而大雨迟早要来。

开门见山,明知山有虎

所有火中取栗、蹈火赴汤和洞若观火的报道,都是易燃品。