Pegasus是一款由以色列公司NSO Group开发的商业间谍软件。它的可怕之处在于不需要手机用户做任何操作就能完成入侵。不点链接、不下载文件、不输入密码——这些传统钓鱼攻击需要的条件在Pegasus面前统统不需要。你只要手机开着,就可能已经被入侵了。这种攻击方式在安全领域被称为零点击远程植入,是移动设备安全领域难以防御的威胁之一。
故事:Pegasus被发现入侵了全球多国政要、记者、律师和人权活动家的手机。包括法国总统马克龙、巴基斯坦总理伊姆兰汗在内的多国政要的手机都被列入了监控名单。受害者可能收到一条iMessage短信,即使不打开这条短信手机就已经被远程入侵了。攻击者可以通过Pegasus完全控制手机的所有功能——读取聊天记录、开启麦克风录音、调用摄像头、追踪位置、访问通讯录。手机主人的一切行为都在攻击者的视野之内,甚至连手机麦克风都能在关机状态下被远程激活,因为恶意软件可以利用系统权限阻止设备真正关机。
泄密链路分析:Pegasus利用了iOS和Android系统上的零点击漏洞,常见的是通过iMessage或WhatsApp等消息系统的解析漏洞触发。攻击者向目标手机发送一条包含恶意载荷的消息,手机系统在后台自动解析该消息时触发漏洞,执行恶意代码。恶意代码利用系统提权漏洞获取高级权限,然后安装Pegasus的监控模块。整个过程在后台静默完成,手机上没有任何提示和痕迹。攻击者获得设备的完全控制权,可以持续监控目标的一切数字活动,并对手机进行数据全量提取。攻击者甚至可以通过Pegasus远程开启手机的麦克风摄像头来监听实时对话。
警示:零点击攻击的存在意味着即使是小心谨慎的用户也无法完全避免被入侵。因为不是你做了什么事触发了攻击,而是你的手机本身处于攻击范围内,接收了攻击者发来的信息。对于高价值目标,常规的防护手段如不点可疑链接、不下载陌生应用已经不够了。建议及时使用系统的安全更新修补已知漏洞,关闭用不到的通信功能和后台服务,对移动设备进行定期的安全检查。对于企业来说员工移动设备的管理应该纳入统一的安全策略,不要以为手机只是个人用品就和商业机密保护无关。在Pegasus面前每一部手机都可能是一个被远程控制的窃听器。定期更换设备也是一种有效的防范手段,因为清除Pegasus这种级别的间谍软件往往需要完全擦除设备系统,否则很难彻底清除干净。
