NSO Group 被指利用零点击 iPhone 0day

公民实验室的数字威胁研究员发现，一个新的零点击 iMessage exploit 被用于在加拿大政治家、记者和活动家的 iPhone 上安装 NSO Group 间谍软件。

这个iOS 0day 缺陷被命名为 “HOMAGE”，影响 iOS 13.2（最新的iOS 稳定版是 15.4）之前的某些版本。它用于2017年至2020年间涉及 Pegasus 间谍软件攻击至少65名人员的活动中，它还利用了 Kismet iMessage exploit 和一个 WhatsApp 缺陷。

在受害者中，公民实验室提到了欧洲议会的加泰罗尼亚成员，自2010年以来的每任加泰罗尼亚自治区主席，以及加泰罗尼亚立法人员、法官、记者以及民间团体组织机构的成员及其家属（注：加泰罗尼亚是西班牙的一个自治区）。

公民实验室指出，“在加泰罗尼亚目标中，我们没看到对 iOS 13.1.3 之后版本设备使用 HOMAGE exploit，很可能该 exploit 已在 iOS 13.2 中修复。iOS 13.1.3之后版本和 iOS 13.5.1 之前版本的设备中并未见到任何0day、零点击exploit 针对加泰罗尼亚目标。”

公民实验室向苹果公司提供了调查该 exploit 的取证工件，并表明并未发现使用 iOS 最新版本的苹果客户受 HOMAGE 攻击。

公民实验室表示，“目前，公民实验室并未将这些黑客活动归因于某个政府，然而，一系列情境证据表明和西班牙政府内部一个或多个实体之间存在强关联。”

欧洲委员会、英国政府、芬兰外交官等也遭攻击

路透社报道称，NSO 间谍软件去年也被用于攻击欧洲委员会高级官员，包括欧洲司法专员。

公民实验室总监 Ron Deibert 指出，公民实验室还向英国政府报告了英国官方网络内遭 Pegasus 监控软件感染的疑似实例。英国首相办公室的某名官员设备疑似受感染，其操纵者和阿联酋存在关联；与英国外交和联邦事务部相关的攻击活动与阿联酋、印度、塞浦路斯以及约旦之间存在关联。

1月份，芬兰外交部指出，继美国国务院员工发现其 iPhone 遭入侵被安装 Pegasus后，芬兰外交官也遭感染。欧洲议会正在设立调查委员会，调查 NSO Pegasus及相关间谍软件违反欧盟法律的情况。

Pegasus 是由以色列监控公司 NSO Group 开发的一款间谍软件工具，声称是向各国政府发放许可，用于“调查犯罪和恐怖活动”的监控软件。公民实验室解释称，“监控软件秘密渗透移动手机（和其它设备），可读取文本、监听通话、收集密码、追踪位置、访问目标设备的麦克风和摄像头并从应用中收割信息。加密通话和聊天也可被监控。感染结束后，这项技术甚至可以继续访问受害者的云账户。”