以色列Paragon间谍软件利用WhatsApp 0day漏洞攻击

多伦多大学公民实验室研究小组对以色列公司 Paragon Solutions 开发的间谍软件攻击进行了分析，发现 Meta 旗下的 WhatsApp 应用程序中存在0day漏洞。

Paragon 自 2019 年于以色列成立，其间谍软件名为 Graphite。创始人包括前以色列总理埃胡德·巴拉克 (Ehud Barak) 和前以色列8200 部队指挥官埃胡德·施内尔森 (Ehud Schneorson) 。

该公司声称，与NSO Group和其他监控公司（这些公司的解决方案曾被独裁政权用来针对活动人士、政客和记者）不同，它已经采取了保障措施来防止此类滥用。

公民实验室已发现澳大利亚、加拿大、丹麦、新加坡、以色列和塞浦路斯使用 Graphite 的证据。有迹象表明，加拿大警方曾使用过这种间谍软件。

Graphite 间谍软件最近因针对意大利人群（包括 Android 和 iPhone 设备用户）而登上头条新闻。意大利政府于 2 月否认使用 Paragon 间谍软件监视记者和移民活动人士。

Meta 最近向 20 多个国家的 90 名用户发出警告，称他们已成为 WhatsApp 上 Paragon 间谍软件的攻击目标。

公民实验室称，至少有一些攻击涉及利用 WhatsApp 0day漏洞，攻击行动无需任何用户交互。

“我们与 Meta 分享了有关 Paragon 基础设施映射的详细信息，因为我们认为 WhatsApp 可能被用作感染媒介。Meta 告诉我们，这些细节对于他们正在进行的 Paragon 调查至关重要。Meta 与 WhatsApp 分享了信息，使他们能够识别、缓解和归因 Paragon 零点击漏洞。”公民实验室表示。

WhatsApp 漏洞，尤其是零点击漏洞，可能非常有价值。

WhatsApp 尚未针对该漏洞发布公告，而且似乎没有分配 CVE 标识符，这表明该0day漏洞很可能已在服务器端修复，用户无需采取任何措施。

除了利用0day漏洞之外，WhatsApp 还向公民实验室证实，被追踪为 BigPretzel 的 Android 组件也与 Paragon 有关，该组件曾参与针对其用户的攻击。 

公民实验室指出，最近发现的证据似乎与 Paragon 关于其解决方案所针对的实体类型的说法相矛盾。

“WhatsApp 通报的 90 多个目标可能只占 Paragon 案件总数的一小部分。”公民实验室表示。

WhatsApp 回应SecurityWeek，他们去年年底已经解决了这个漏洞（他们称之为“攻击媒介”），无需客户端修复。攻击涉及使用群组和发送 PDF 文件。

详细技术分析：

https://citizenlab.ca/2025/03/a-first-look-at-paragons-proliferating-spyware-operations/

新闻链接：

https://www.securityweek.com/paragon-spyware-attacks-exploited-whatsapp-zero-day/