如何对高度敏感人士的智能手机进行监控及如何应对此类威胁

全球知名的飞马间谍软件（Pegasus）已广为人知，通过公开的安全资讯，可以了解这个由以色列商业间谍软件公司开发的间谍软件在中东、欧洲、南美等地被广泛应用。

类似飞马的高级间谍软件的流行证明数字监控正在增加。随着潘多拉文件（https://www.icij.org/investigations/pandora-papers/）和维基解密（https://wikileaks.org/）等各种机密文件的泄露被广泛报道，世界各国出现更加积极的监控活动，以防止潜在的泄密事件，从而避免向公众泄露敏感又令人尴尬的官方文件。

数字技术的进步已将大多数通信转移到数字平台。例如，使用互联网消息应用程序（例如 WhatsApp、Telegram 和 Signal）来交换消息和文件并与其消息来源进行通信。先进的间谍软件可以监控计算机和智能手机上的通信，数字监控工具的部署导致世界各地许多记者被捕甚至被杀害（比如中东某国记者被谋杀在该国驻外使馆，引发严重事件）。

使用间谍软件监视最著名的例子是 Pegasus 间谍软件事件。2021 年夏天，世界新闻披露了由以色列网络情报公司NSO Group Technologies开发的 Pegasus 间谍软件来监视活动人士、记者和政治人物。尽管该间谍软件最初是作为反恐措施而开发的，但 Pegasus 客户用于监控的 50,000 多个电话号码被泄露给国际特赦组织，这表明该工具已被严重滥用于其他目的。

本文将讨论攻击者如何在目标个人计算设备上安装间谍软件，给出一些类似事件示例，最后提供降低此风险的技术建议。

间谍软件如何安装在特定对象手机上而他们却没有注意到？

攻击者可以通过多种方式在最终用户的设备上安装监控工具。以下是最常用的方法：

• 恶意应用程序：攻击者可能会滥用流行的应用程序和下载网站（例如 Google Play、Samsung     Galaxy Store 和 Apple Store）来传播间谍软件。例如，ESET研究人员最近发现某 APT     组织将植入木马的应用程序（Telegram 和 Signal）上传到 Google Play 商店和三星 Galaxy 商店。

• 网络钓鱼电子邮件：发送鱼叉式网络钓鱼电子邮件在目标智能手机和计算机上静默安装间谍软件的首选方法。网络钓鱼攻击可以通过不同的方法进行，除了短信之外，还包括互联网消息应用程序和 Facebook Messenger 等社交媒体平台。臭名昭著的 Pegasus 间谍软件通过电子邮件和短信使用鱼叉式网络钓鱼攻击来感染其目标。一旦安装在受害者的智能手机上（支持在Android和iPhone上安装），它将变成一个24小时监控设备。Pegasus 间谍软件的特点是远程零点击攻击，带有恶意漏洞利用的消息直接发送到目标手机，并触发后下载植入带监控功能的模块。

• 路过式下载（水坑攻击）：在这种技术中，攻击者利用托管漏洞利用工具包的受感染网站，这些漏洞利用工具包在用户访问时瞄准并利用用户浏览器或应用程序中的安全漏洞。如果成功，该漏洞利用工具包将在用户不知情的情况下悄悄地将间谍软件有效负载下载到最终用户的系统上。攻击者往往会在目标对象经常访问的站点植入此类攻击。

• 软件漏洞：用户的计算设备除了操作系统之外还包含应用程序。攻击者可以利用应用程序中的安全漏洞来安装间谍软件。例如，Candiru 间谍软件与 Pegasus 间谍软件具有类似的功能，它利用 Google Chrome 0day漏洞 ( CVE-2022-2294) 在目标设备上安装。Candiru 间谍软件能够记录受害者的网络摄像头和麦克风，记录他们在键盘上输入的所有内容，窃取消息、浏览历史记录、密码和位置，此外还能够通过安装易受攻击的签名内核驱动程序来感染其他0day漏洞。此次袭击主要针对中东记者，尤其是居住在黎巴嫩的记者。

• 受感染的文件：下载和打开互联网文件可能会用间谍软件感染设备。例如，攻击者可以在 MS Office 和 PDF 文件中嵌入恶意代码，以便在用户打开原始文件时悄悄安装间谍软件。

• 物理访问：如果攻击者成功获得目标对象设备的物理访问权限，他们就可以通过不同的方法（例如 USB 电缆或 USB 存储卡等）安装间谍软件。例如，在 Juice Jacking 中，攻击者用免费 USB 端口充电站（例如机场和酒店中的充电站），用间谍软件感染用户。

• 利用 Wi-Fi 和蓝牙连接中的弱点：攻击者可以利用旧蓝牙和 Wi-Fi 协议中存在的安全漏洞来安装间谍软件，从而在目标智能手机上安装间谍软件。例如，在蓝牙的所谓密钥协商（称为 KNOB）攻击中，攻击者迫使受害者计算设备（例如智能手机）在与其他蓝牙设备协商连接时使用弱加密密钥（仅 1 字节）。这使得附近的攻击者可以破解蓝牙密钥并拦截配对设备之间的通信。使用相同的技术，黑客可以在受害者的设备上安装间谍软件。

• 虚假更新：攻击者可以通过欺骗性软件更新在受害者设备上安装间谍软件。这种攻击的一个常见示例是创建一个高度模仿合法网站（例如流行的     Web 浏览器或浏览器插件）的虚假网站。当受害者访问虚假网站时，会出现一条弹出消息，指示受害者下载看似官方的网络浏览器更新或其他常用软件更新。然而，假更新包含隐藏的恶意软件，它们会悄悄地安装在最终用户的设备上。

• 预安装的间谍软件：在某些情况下，间谍软件可能已存在于用户的设备上。例如，目标对象可能会将他们的智能手机送到维修店，那里会在未经用户同意的情况下安装间谍软件。另一种情况是从一家不太知名的公司购买智能手机，该公司可能销售预装间谍软件的产品。

间谍软件市场

类似 Pegasus 的高级间谍软件工具代价高昂，往往只有大买家有实力购买，但这并不完全准确。

例如，即使技术专业知识有限的个人也可以从暗网购买类似工具或雇用黑客在目标设备上安装间谍工具。一些公司在表面网络上宣传销售间谍设备，但这些设备的效率通常低于在暗网（例如 TOR 网络）上推广的设备。

在 TOR 暗网中，许多黑客网站宣传销售远程智能手机监控服务（见图 1）。

TOR 暗网是网络犯罪集团交易间谍工具的首选场所。在该图中，TOR 市场以 500 美元的价格出售细胞间谍应用程序的广告

有许多科技公司销售细胞间谍工具。这些都是合法的公司，他们将自己的工具出售给感兴趣的各方以合法使用它们，例如通过家长控制来监控孩子的智能手机。

这些商业间谍应用程序可能会被滥用，类似于 Pegasus 间谍软件的情况，并使用已经讨论过的任何交付方法安装在目标设备上。以下是一些合法间谍软件应用程序的列表：

如何避免自己的设备被安装监控工具？

怀疑其设备被安装恶意软件（例如间谍软件）的人士遵循以下建议：

• 仅从信誉良好的网站下载应用程序，尤其是互联网消息应用程序。例如，适用于 Android 的 Google Play 和适用于 Apple 设备的 Apple Store

• 使设备操作系统保持最新

• 启用双因素身份验证 (2FA)以保护在线帐户

• 在智能手机设备上安装信誉良好的反恶意软件以消除威胁

• 安装前检查所有移动应用程序权限

• 不使用公共 Wi-Fi  热点发送电子邮件或使用 IM 应用程序聊天

• 防止网络钓鱼攻击，不要点击匿名人士发送的可疑电子邮件或 IM 消息上的链接

• 保护对计算设备的物理访问，不允许陌生人访问笔记本电脑、平板电脑、工作站和移动电话等计算设备。

不幸的是，类似飞马（Pegasus）的高级间谍软件几乎是无法防御的，攻击者不需要受害者任何交互操作即可远程植入木马。苹果手机用户将设备置于Lockdown Mode是选择之一（该模式将使智能设备功能严重受限），仅适合极度关注信息安全的高危目标用户使用。

参考链接：https://cybernews.com/editorial/government-agencies-surveillance-smartphones/

讲述普通人能听懂的安全故事