Apple HomeKit疑遭濫用於塞爾維亞Pegasus間諜軟體攻擊
塞爾維亞當局疑利用Apple HomeKit漏洞,無需用戶互動即可安裝Pegasus間諜軟體。
Apple的HomeKit平台近日受到質疑,據報導塞爾維亞當局疑似濫用其漏洞,無需用戶互動便可將包括惡名昭彰的Pegasus間諜軟體在內的監控工具植入裝置中。國際特赦組織的調查揭示了這場間諜活動中使用的兩大工具:由以色列NSO Group開發的Pegasus,以及本地開發的NoviSpy系統。
兩大監控工具
Pegasus在全球範圍內廣為人知,因其能利用「零日漏洞」──製造商未知的軟體缺陷,悄無聲息地感染目標裝置。一旦安裝,Pegasus便能無限制地存取訊息、電子郵件、媒體,甚至將受感染的裝置變成即時監控工具。這款軟體的關鍵之處在於,它不需要用戶點擊連結或執行任何操作即可完成安裝。
與此同時,NoviSpy系統則據稱專門針對塞爾維亞環境開發,主要依賴對裝置的物理接觸來安裝。這款工具據稱在警方進行交通攔查或「訊息面談」期間被植入裝置。例如,記者Slavisa Milanov曾短暫將手機放在警局後,發現手機出現異常行為。後續分析顯示,手機當時曾被使用Cellebrite工具訪問,並在那段時間內安裝了NoviSpy。
Apple系統的漏洞被利用
據報導,塞爾維亞當局利用Apple的HomeKit平台漏洞將間諜軟體傳送至目標裝置。雖然HomeKit設計上具備安全協議,但攻擊者據稱可操控網絡配置或發送惡意邀請,藉此入侵裝置。同樣地,由於功能廣泛且使用量大,Apple的iMessage也一直是零日漏洞攻擊的重點目標。Pegasus間諜軟體曾多次成功利用這些漏洞,實現遠端安裝。
Apple歷來針對間諜軟體的威脅採取法律及技術手段應對。例如在2021年,Apple對NSO Group提起訴訟,試圖阻止其訪問Apple服務。此外,Apple在iOS 16中推出了「鎖定模式」(Lockdown Mode),這項安全功能限制了常被間諜軟體利用的功能,例如訊息附件、連結預覽和未知的FaceTime通話。
然而,儘管Apple已作出努力,報告強調,Pegasus等間諜軟體的開發者仍在不斷尋找新的漏洞。僅在2023年,Pegasus便進化出了三種針對iPhone的「零點擊」漏洞攻擊手法。
對記者和維權人士的影響
Pegasus和NoviSpy在塞爾維亞的部署引發了對記者、維權人士及人權捍衛者的嚴重關切。這些工具使當局能監控加密通訊應用(如Signal)的內容、追蹤人際網絡,甚至蒐集示威和公民運動的情報。
對於遭受監控的個人來說,影響深遠。一些記者甚至完全放棄使用手機,因擔心隱私被洩露。另一些人則形容自己感到被孤立,對於自身在公民社會中的角色感到不確定。
用戶如何保護自身安全
對於Apple用戶,尤其是那些可能成為目標攻擊的高風險人群,可以採取以下措施加強裝置安全性。啟用iOS的「鎖定模式」可提供更強的防護,該模式能在裝置的「隱私與安全」設定中啟動,從而減少被間諜軟體利用的攻擊面。此外,用戶應養成良好的安全習慣,例如使用強密碼、定期更新密碼,以及啟用雙重身份驗證。
當收到意外的HomeKit邀請或訊息時,亦應提高警覺,因這些可能是惡意攻擊的入口點。
雖然Apple在隱私和安全領域擁有良好的聲譽,但這些事件再次表明,即便是最安全的系統也無法完全免疫於高級間諜工具的威脅。隨著間諜軟體技術的不斷演進,保護裝置安全仍將是一項持續挑戰。