Google 将 60 多个0day漏洞与商业间谍软件供应商联系起来

自 2016 年以来曝光的 Adobe、Google、Android、Microsoft、Mozilla 和 Apple 0day漏洞中有 60 多个归因于间谍软件供应商。

谷歌在周二发布的一份新报告（https://storage.googleapis.com/gweb-uniblog-publish-prod/documents/Buying_Spying_-_Insights_into_Commercial_Surveillance_Vendors.pdf）中表示，自 2016 年以来曝光的苹果、Adobe、谷歌、微软和 Mozilla 产品中的 60 多个0day漏洞均归因于商业间谍软件供应商。

报告深入分析了在设备上安装间谍软件的公司的运营情况。虽然这些商业间谍软件供应商声称他们的产品和服务仅用于合法监视，通常用于执法目的，但大量调查表明，某些势力正在利用它们来针对政治对手、记者、持不同政见者和人权捍卫者。

商业间谍软件供应商准备支付数百万美元来获取可以让他们完全控制设备的漏洞，特别是运行 Android 和 iOS 的手机，但这些公司也可以从单个客户那里赚取数百万美元。除了间谍软件本身之外，还向客户提供初始交付机制和所需的漏洞利用、命令和控制基础设施，以及用于组织从受感染设备窃取的数据的工具。

Google 的威胁分析小组 (TAG) 目前跟踪大约 40 家商业间谍软件供应商，这些供应商向政府出售漏洞和恶意软件，并为这些机构开发定制漏洞利用恶意程序。

在其最新报告中，谷歌列出了其中 11 家间谍软件供应商，包括 Candiru、Cy4Gate、DSIRF、Intellexa、Negg、NSO Group、PARS Defense、QuaDream、RCS Lab、Variston 和 Wintego Systems。

谷歌将 2016 年以来发现的 60 多个独特的 Android、Chrome、iOS/macOS、WhatsApp 和 Firefox0day漏洞归咎于这些公司。此列表不包括间谍软件供应商已发现的已知（Nday）安全漏洞。

TAG 在 2023 年发现的 25 个被利用的漏洞中，有 20 个被间谍软件供应商使用。此外，自 2014 年中期以来，针对 Google 产品的 72 个0day漏洞中有 35 个幕后黑手是此类公司。

谷歌指出，这些只是已发现的漏洞。被利用的漏洞实际数量可能更高，因为还有一些漏洞尚未被发现或尚未与间谍软件供应商联系起来。

当谷歌和苹果修补0day漏洞时，他们的建议会告知客户有关主动利用的信息，但他们不会提供有关攻击或攻击者的任何信息。谷歌的最新报告首次将其中几个0day漏洞与特定间谍软件供应商联系起来。

例如，苹果公司在2023年4月紧急发布补丁的iOS 0day漏洞CVE-2023-28205和CVE-2023-28206，以及5月份补丁的CVE-2023-32409 ，均已被西班牙Variston间谍软件公司利用。Android 漏洞CVE-2023-33063的利用现在也与同一间谍软件供应商相关联。

Apple 最近警告称，被追踪为CVE-2023-42916 和 CVE-2023-42917 的 iOS漏洞与土耳其公司 PARS Defense 有关。

Google 在 4 月份修复的CVE-2023-2033和CVE-2023-2136 、Chrome 缺陷以及 6 月份解决的CVE-2023-3079均归因于Intellexa。

CVE-2023-7024是 2023 年 Chrome 修复的第八个0day补丁，现已归属以色列臭名昭著的 NSO 间谍软件公司。

谷歌在 9 月份修复CVE-2023-5217时警告说，Chrome 漏洞已被间谍软件供应商利用，但没有透露该公司的名称。新报告显示，间谍软件供应商是以色列的Candiru间谍软件公司。

Android 漏洞CVE-2023-4211、CVE-2023-33106、CVE-2023-33107被归因于意大利间谍软件公司Cy4Gate。

美国政府周一宣布了一项新政策，允许对参与滥用商业间谍软件的外国个人实施签证限制。

参考链接：https://www.securityweek.com/google-links-over-60-zero-days-to-commercial-spyware-vendors/