2022年,西班牙首相桑切斯的手机出问题了。不是电池鼓包,不是屏幕摔裂,也不是用久了卡顿,而是他的手机在裤兜里就被别人接管了所有的权限。通话记录被人实时读取,短信还没到他的眼前就被拦截转发,通讯录里的所有联系人资料被完整复制,GPS定位轨迹被全天候追踪,甚至手机麦克风都可能在某个深夜被远程打开,把房间里的对话一字不漏地录下来。这一切发生的时候,桑切斯的手机界面一切正常,没有弹窗提示,没有异常通知,没有任何让用户起疑的信号。他像往常一样接打电话、收发信息、处理公务,丝毫没有察觉到有一双眼睛通过手机屏幕这扇窗户,在看着他所有的数据和交流。
等到这件事被西班牙政府和公民实验室联合调查曝光的时候,全球舆论一片哗然。入侵桑切斯手机的武器是一款名为Pegasus的间谍软件,由以色列的NSO集团开发并对外销售。Pegasus在全球间谍软件界可以说是一个标志性的存在,不是因为它的界面好看或者操作方便,而是因为它拥有极度强大的远程植入能力。一般的恶意软件至少需要用户点击一个链接、扫描一个二维码或者下载一个附件才能趁虚而入,但Pegasus的高端版本走的是"零点击"攻击路线,这意味着目标用户什么都不用做,甚至连手机放在那里不动,攻击方利用操作系统里尚未被公开的漏洞就能把监控程序装进去。
一旦Pegasus成功进入手机,它就获得了几乎和操作系统本身同等级别的权限。它可以做什么?它可以实时录制所有通话。可以在你打电话的时候自动把通话内容转成文字存下来。可以读取所有第三方聊天应用的内容,包括像WhatsApp、Signal、Telegram这些号称端到端加密的软件。为什么加密也不管用?因为Pegasus是在数据被加密之前就在手机系统级别抓取到了原始内容,所以加密对它来说没有任何意义。它还可以远程打开手机摄像头拍照,就算你把摄像头贴上胶布,麦克风也是没有办法物理堵住的。你房间里的所有声音都可能被它捕获。
桑切斯作为西班牙的政府首脑,日常通过手机处理的公务信息涵盖面非常广。包括但不限于和内阁成员讨论的外交谈判策略、重大经济政策的未公开版本、和欧盟盟友之间的高保密等级通话、涉及国防安全和反恐行动的敏感内容。手机里还存着大量联系人信息、会议日程、出访安排,这些数据综合起来已经足够让情报机构拼凑出一幅完整的工作状态图。具体泄露了多少信息、持续了多长时间,目前没有一个详细的公开报告,但所有安全专家都认为损失绝对不小。更让人后背发凉的是,这起事件暴露出来的是全球性的风险,因为Pegasus的受害者名单里不只是国家元首,还包括大量媒体记者、人权律师、政治活动人士、外交官员以及企业高管。在中国有数万个手机号码被确认为攻击目标,在墨西哥有超过二十名记者被感染,在泰国抗议运动中有三十多名活动人士成为监控对象。
泄密链路可以从技术角度拆解为几个环节。第一个环节是信息收集,攻击方通过各种公开或者半公开的渠道获取目标人物的手机号码。对于一些政要来说,他们的手机号可能在某些供应商、合作伙伴或者社交媒体数据库中留有痕迹。有了手机号,攻击就有了基础条件。第二个环节是漏洞利用,攻击者利用iOS或者安卓系统里的零日漏洞,这些漏洞没有被手机厂商发现,自然也就没有相应的安全补丁。攻击者通过运营商的通信网络或者无线网络向目标手机发送一个精心构造的数据包,不需要用户做任何操作就能实现远程代码执行。这个阶段对于用户来说是完全没有感知的,因为手机屏幕上不会出现任何需要点击或者确认的画面。第三个环节是权限提升和持久化驻留,Pegasus进入手机后立刻利用另一组系统漏洞给自己申请系统级权限,然后把自己巧妙地隐藏在系统文件中,让一般的安全扫描软件都找不出来。接下来就是持续的数据采集和回传。所有感兴趣的数据会被自动压缩、加密,然后趁着手机在进行正常网络通信的时候混在流量包里一起传输出去。为了降低被发现的概率,攻击方特意选择深夜时段进行大批量数据传输,把数据包的体量控制在看起来像是普通的系统更新或者云端备份的水平。
经过这次教训,桑切斯和西班牙政府内阁成员全部更换了安全等级更高的通讯设备,并引入了专业级的移动设备安全防护方案。但对于普通用户、企业高管、商业秘密持有人来说,这起事件应该有更直接的触动。给你一些具体的建议。第一,手机系统的安全补丁必须做到随出随装,不要在通知你更新的时候点"稍后提醒"然后一直拖到下一个版本出来。大部分攻击利用的漏洞其实是已经公开的,你只要及时更新补丁,攻击者就失去了趁虚而入的机会。第二,留意手机异常信号,包括电池续航突然断崖式下跌、蜂窝数据传输量在没有任何大文件下载的情况下显著上升、手机待机时温度偏高。这些都有可能是后台监控软件在偷偷运转的信号。如果你怀疑手机出了问题,尽快找专业的安全团队做一次深度设备审计。第三,所有商业秘密的讨论场合严格执行手机管制,核心会议室配备信号屏蔽设备或者要求与会人员把手机集中存放在带锁的保管柜里。物理隔绝是实现百分百信息隔断的手段。你堵住了电子通道,至少让攻击者少了一个最方便的入口。信息安全的投入本质上是一笔保险,不出事的时候看起来是白花了钱,但真正出一次事的时候,你付出的代价将远超保费。在窃听泄密这件事上,防患于未然要比亡羊补牢明智得多,因为你丢出去的信息可能永远找不回来了。
