【阿里聚安全·移動安全周刊】維基解密：iPhone剛出廠就可能被CIA安裝間諜軟體

本周熱詞

▼

蘋果遭勒索 | iPhone被安裝間諜軟體

Android O預覽版發布 | Android年度安全報告

簡訊詐騙 | iOS 10.2 越獄

飽受爭議的維基解密新發布了數份文檔，揭示了CIA(美國中央情報局)數個旨在滲透蘋果iPhone手機和Mac計算機的項目。被稱作Vault 7「暗物質」的文檔，揭示了數個項目，CIA近10年來一直利用這些項目秘密監視蘋果設備用戶。

據維基解密稱，其中一個項目被稱作NightSkies 1.2——一款「Beacon/載入程序/植入工具」，自2008年以來CIA一直在利用這一工具。

這款工具被CIA特工安裝在「剛出廠的iPhone」，或用戶尚未接觸使用的手機上，使CIA能暗中監視手機用戶。維基解密相信，CIA可能通過改變iPhone發貨途徑，在手機上安裝這一工具。

文檔描述了CIA是如何利用iOS安全缺陷監視毫不知情的iPhone用戶的。蘋果回應稱，文檔揭示的缺陷中，近80%已經得到修正，公司「將繼續努力，迅速修正發現的缺陷」。維基解密文檔揭示Android手機也受到入侵后，谷歌表達了同樣的態度。

除NightSkies外，維基解密還披露了一個被稱作「Sonic Screwdriver」的項目。據CIA文檔稱，Sonic Screwdriver使特工能利用插入計算機的一個UBS配件遠程攻擊Mac計算機。維基解密公布的文檔還描述了其他攻擊工具。

近日，一個黑客組織聲稱自己已經掌握了至少2 億個iCloud帳戶，如果蘋果在 4 月 7 日前不交付贖金，他們將會動手抹掉數億個 iCloud 賬戶的數據，但是蘋果公司卻否認其iCloud帳戶已經遭到黑客破壞。

這一自稱為「土耳其罪犯家族（Turkish Crime Family）」的黑客組織已經向科技網站Motherboard提供了一段視頻，展示了自己竊取的 iCloud 賬戶證據。他們要求蘋果支付贖金或面臨抹除數億賬戶數據的後果。

黑客已經列出了贖金的價格，要麼支付價值10萬美元的比特幣要麼支付價值13萬美元的iTunes禮品卡。

蘋果公司今日發布聲明暗示，黑客可能會通過使用以前破解的電子郵件地址或是在暗網市場中泄漏的賬戶（例如最近的雅虎泄漏案中的10億個賬戶）來進行勒索詐騙。

其實針對個人數據存儲系統的攻擊並不新鮮，此前蘋果 iCloud 就遭遇過攻擊，許多名人的私照被泄露到了網上。截至發稿前，該黑客組織並未展示他們是如何竊取這些賬號的，他們稱自己只是一個新組織，而2017年4月7日的行動（如果蘋果沒有支付贖金的情況下）不會是我們唯一的一次攻擊行動，它只是一個開始。

最近，國外開發者Luca Todesco透露，他目前已經完成了針對iOS 10.2的全面越獄，使用該越獄工具不會再出現簽名問題。

但是，由於他擔心會在 iOS 10.3 發布的時候封堵iOS 10.2的越獄漏洞，因此他會在 iOS 10.3 發布后再放出 iOS 10.2 的完整越獄工具，預計 Luca 本次發布的 iOS 10.2 越獄工具將會支持64位 iPhone、iPad 和 iPod touch。而正式版的 iOS10.3 可能在本月底推出。

Luca 還透露，這次 iOS10.2 的越獄方式是基於 Safari 的 JailbreakMe 式越獄。簡單來說 JailbreakMe 式越獄在越獄時不需要將 iPhone 連接電腦，用戶只需用 Safari 直接打開特定網站，之後按步驟幾款操作即可完成越獄。

Google在3月22日正式發布了Android O (8.0)開發者預覽版，同時公開了一些Android 8.0上的新安全特性：

（1）正式停止對SSLv3協議的支持；

（2）當HTTP連接使用的是非正確版本的TLS協議時，取消自動回落到兼容低版本TLS及重連機制；

（3）使用了更加嚴格的「SECCOMP」沙盒機制過濾所有APP，限制可通過bionic導出與調用的syscalls；

（4）App中使用的Webview組件將使用沙盒隔離，與App運行在不同進程中。

（5）同時可寫與可執行的Native庫將無法載入；

2015年，網路安全機構Zimperium的安全研究人員Joshua Drake披露了Android系統有史以來最嚴重漏洞——Stagefright。利用這個漏洞，只需簡單的一條彩信，黑客就可能完全控制用戶手機。據悉，這個漏洞波及了超過9.5億台Android手機。

Stagefright漏洞引發了大眾對Android生態系統安全性的關注，谷歌隨後開始嘗試每個月都對Android設備推送安全更新。3月23日，谷歌發布了Android系統年度安全報告，全面回顧了2016年在安全方面的各項工作進展。

在月度安全更新方面，Android安全部門主管Adrian Ludwig表示，谷歌通過與運營商和製造商的合作，將安全更新的等待時間從6~9個星期降低到了幾天。而且谷歌還縮減了安全更新程序包的大小，並取消了每次更新都需要用戶同意這一過程。

此外，Google Play里幾乎每種PHA（Potentially Harmful App，潛在有害應用）的安裝量都降低了。2016年底，只從Google Play下載應用的設備只有0.05％存在PHA，相比2015年的0.15％大幅下降。

不過，報告里透露的並不只有好消息。數據顯示，截至2016年底，仍然有一半的活躍Android設備在過去一年中並未收到平台安全更新。而且，2015年初只有0.5%的Android設備安裝了PHA，但是到2016年底，這個數據上漲到了0.71%。

對於普通用戶來說，想要確保手機的安全性，要記住的只有兩點：

• 選擇會每月推送安全更新的Android手機

• 只從谷歌的Play Store應用商店中下載App

對於國內的手機用戶而言，詐騙簡訊已是司空見慣的事情，但是對於國外的消費者，黑客的詐騙簡訊又達到了怎樣的水平？

簡訊詐騙是指通過簡訊發送的釣魚攻擊，詐騙者會向移動用戶發送一條非常有誘惑力的虛假簡訊，誘騙受害者在自己的手機上下載並安裝惡意app，然後哄騙受害者輸入一些敏感信息。

Check Point 的安全研究員發現，的黑客正在利用虛假的基站收發信台（BTS tower）散播Swearing木馬。Swearing木馬是一種安卓銀行木馬，其作者已經在一次警察突擊中被抓獲。

這是第一次被媒體報道的有關利用BTS傳播惡意軟體的真實案例。釣魚簡訊通常會偽裝成一條來自移動或者聯通的簡訊，簡訊裡面的文字非常具有誘惑性，並且還會附帶一個惡意安卓APK的下載鏈接。大部分的用戶並不會在意該APK是否來自可信任的來源，他們會直接忽略這一提示進行安裝。

安全研究員表示：利用BTS發送虛假簡訊是非常高級的攻擊手段，由於簡訊內容具有極大的誘惑性，可誘導用戶直接點擊附帶的惡意URL下載安裝惡意軟體。一旦Swearing木馬成功安裝在受害者手機上，Swearing會進一步的向受害者手機聯繫人發送釣魚簡訊。但是BTS天線的最大覆蓋範圍為10-22米，所以在針對性攻擊中成功率非常高。

攻擊活動的開始階段，只有被郵箱服務被Swearing木馬使用，但是現在連163.com、sina.cn、qq.com等知名的郵箱服務商也被利用了。

▼