蘋果狠遭打臉！全球5萬帳號遭飛馬挾持、iPhone成監控裝置，馬克宏、譚德塞都遭殃

蘋果又一次因為隱私安全問題被「錘」了。

近日，Amnesty International（國際特赦組織）發布報導稱，蘋果iPhone存在重大安全漏洞，不需要手機用戶點擊連結，飛馬（Pegasus）便能竊取用戶敏感數據。

一時間，輿論嘩然，不少外媒言辭激烈控訴蘋果，並要求其就該安全漏洞提出解決辦法。

「飛馬」入侵，蘋果變監控器

蘋果手機這次暴露的安全漏洞，究竟有多嚴重呢？

7月18日，Amnesty International在一份報告中指出，iPhone一旦感染NSO Group的「飛馬」惡意軟體，其便能夠自主完成收集電子郵件、通話記錄、社交媒體貼文、用戶密碼、聯繫人列表、圖片、影片、錄音和瀏覽歷史記錄等一系列操作。

除此之外，「飛馬」還能輕鬆啟動蘋果手機的攝像頭或麥克風，以此來同時捕獲用戶的新圖像和錄音，並收聽電話和語音郵件。甚至，利用「飛馬」可以準確定位該用戶目前所處位置，並實時同步其處於靜止或移動狀態——等於直接將蘋果手機變成了一部專業攜帶式監控設備。

一般而言，當蘋果手機信息中出現未知連結或釣魚連結時，只要用戶不主動點擊該連結就不會有問題，但這次的「飛馬」軟體則不同，其被發送至目標手機那一刻起，即便用戶不主動點擊該連結，也會被「飛馬」控制。

Amnesty International經過證實發現，「飛馬」可以成功入侵正在運行iOS 14.6系統的iPhone 12。

而且，根據Amnesty International公開的數據顯示，目前有超過50,000個號碼在被「飛馬」監視的列表中，而這份號碼名單由位於巴黎的非營利組織Forbidden Stories和Amnesty International共同保管。

可以確定的是，名單涵蓋了50多個國家的手機用戶。其中包括阿拉伯王室成員、65位企業高管、85位人權活動家、189位記者以及600多名政治家和大量政府官員——包括各個國家的內閣部長、外交官、軍事和安全官員。

延伸閱讀：世界衛生組織警告：達70%人口接種疫苗才能抗COVID-19

甚至，這份「飛馬」監視的名單中還有幾位國家元首和總理——比如法國總統馬克宏、南非總統西里爾·拉馬福薩、世界衛生組織總幹事譚德塞等。

面對如此危急的形勢，蘋果方面一直拖到7月20日凌晨，才推出iOS 14.7系統。至於iOS 14.7系統是否能夠阻止飛馬的入侵，目前尚未可知。

問題到底出在哪裡？

大多數專家都認為，蘋果手機被惡意軟體劫持的源頭在於——iMessage。

此前，蘋果曾創建過一個名為Blast Door的功能，專門用以針對篩選可疑消息，並阻止其深入手機非法獲取隱私訊息，但事實證明，這項功能並未能保證iPhone用戶的隱私安全。

「近日肆虐的飛馬軟體，無疑能透過iMessage入侵蘋果iOS系統，很明顯，NSO可以擊敗蘋果的抵禦工具Blast Door。」多倫多大學網絡安全分析師研究員Bill Marczak對此強調。

對此，Amnesty International安全專家表示，蘋果用戶如果想阻止手機被惡意軟體入侵，目前最有效的辦法是更新到蘋果iOS 14.7系統，但是設備製造商先要知道「漏洞所在」。

前美國國家安全局工作人員、Mac安全開發商Objective-See的創始人帕特里克·沃德爾在接受英國《衛報》採訪時指出：

沃德爾還補充道：「蘋果吹捧的安全功能，其實也是一把雙刃劍——iMessage透過端到端加密，這意味著沒有人會看到你的漏洞。從攻擊者的角度來看，也讓入侵變得簡單。」

延伸閱讀：疫後數位化潛藏危機！六大企業應趁勢升級資安防護

為此，蘋果安全工程和架構負責人Ivan Krstić則為公司的安全工作辯護：

截止發稿，蘋果對「飛馬事件」的回應也只有一份簡單的聲明：

蘋果隱私安全為何更容易引發關注？

值得注意的是，「飛馬」的製造商NSO Group其實是一家以色列公司，它專門向政府機構、執法部門出售軟體，用來打擊恐怖主義、汽車爆炸、性交易及販毒行為。而「飛馬」遭受全民譴責時，NSO辯稱創造「飛馬」的目的只是為了對恐怖分子的號碼、通話、信息等進行監視。

即便本次「飛馬」監視的對象主要是各個國家的記者、社會活動家及政府要員，但事件從7月18日發展至今，引起了全球蘋果用戶的廣泛關注——連各國政要的蘋果帳戶都能輕鬆監視，更何況普通人。

畢竟，在算法時代，每個用戶的出行路線、工作內容、餐飲喜好、休閒娛樂，記錄了消費和財富也記錄了情緒和慾望，我們早已物化成滿身標籤的綜合體。

所以在國外社交平台Quora上，各國網友針對此次「飛馬事件」便展開了激烈的討論。

比如，一位名叫克里斯·薩默斯的網友，其從事手機銷售＆服務超過五年時間，他認為：「雖然和安卓系統比起來，蘋果並不會經常受到惡意軟體攻擊，但這次的事件說明，NSO發現漏洞後，並沒有告知谷歌或蘋果，而是將其出售給政府來監視公民。」

另一位名叫克萊因的網友則認為：

其實，人們更關注蘋果的安全問題確實與其一向以來標榜注重用戶「隱私安全」脫不了關係。

早在2015年，iOS9發佈時，蘋果便展示了追踪新聞等應用程序的方式，當用戶設定屏蔽後，一些第三方軟體便無法獲取用戶數據，向用戶發布更有個性化推薦的廣告。

2016年，蘋果發布iOS 10，加入「限制廣告追蹤」功能，只要用戶打開這個功能，就可以徹底重置IDFA。

2016年初，聯邦調查局希望蘋果開發一款軟體用以解鎖一部嫌疑人的iPhone，以輔助案情偵辦。雖然蘋果幫助FBI從疑犯iCloud帳戶中提取了部分數據，但由於不知道手機密碼，有些數據聯邦調查局仍無法完全獲取。

2016年2月16日，美國治安法官Sheri Pym命令蘋果為FBI開發後門軟體，但該命令遭到蘋果拒絕。蘋果CEO庫克認為，該項命令會威脅到所有iPhone用戶的安全，並表示，「繞過iPhone密碼意味著在其iOS系統中創建一個後門，而它也可被用來窺探所有其他iPhone。」

在此之後，隨著越來越多類似事例的發生，蘋果堅決捍衛用戶隱私安全的形象逐漸佔據了消費者心智。連蘋果CEO庫克也多次在公開場合呼籲，「建立更全面的隱私法，捍衛消費者隱私權。」

2021年6月，庫克還在WWDC2021上表示，「你的應用程式應該只訪問用戶期望的數據，並在他們期望的時間訪問。」

然而，誰也不曾想到，打臉來的如此之快——當Amnesty International扔出那份「飛馬」監視的50000個號碼名單時，人們才意識到蘋果的隱私安全保護，已不容樂觀。

毋庸置疑，從國家或者個人層面出發，企業能否保護好用戶隱私安全才是最重要的，而非一直被強化的隱私保護「品牌形象」。

本文授權轉載自：虎嗅網

責任編輯：林佳葦、蕭閔云