2016年8月24日星期三

iOS 9.3.5 系统更新背后有个像谍战一样的故事,它也可能发生在你我身上

阿联酋知名民权活动家艾哈迈德·曼苏尔的 iPhone 6 收到一条短信,称有“阿联酋监狱虐囚的新秘密”,文末附有超链接。
如果他点下链接,这部 iPhone 便会被远程控制,发件人将能看到里面的所有短信、邮件、通话记录,并且可以追踪到屏幕上的每一次点击。甚至,他们可以监听手机周遭的声音,而曼苏尔的 iPhone 屏幕上什么都看不出来。



控制这部手机的,是以希腊神话中的“天马”(Pegasus)命名的黑客工具。
尽管整件事听上去和《谍影重重 5》里中情局发起的远程攻击类似,但这不是好莱坞编剧构想的电影情节,而是已经发生的事情。本周五,苹果发出 iOS 9.3.5 系统更新,唯一目的便是为了防御“天马”的攻击。


类似电影情节的攻击

根据苹果公司的公告,iOS 9.3.5 修复了三个由公民实验室(Citizen Lab)和 Lookout 提交的安全威胁。前者是多伦多大学国际关系学院下属的技术实验室,后者是一家位于旧金山的移动安全公司,曾曝光过多个手机漏洞。
在苹果发布升级补丁后,Lookout 官方博客刊文介绍了“天马”对 iPhone 的攻击能力。
除了什么都能干以外,“天马”在反追踪方面也颇下功夫,在 4G 联网时它会放慢数据传输速度以避免过快消耗电力或流量。当手机连接 Wi-Fi 的时候则会加快数据偷取,让用户更难以察觉。
苹果 8 月中旬从 Lookout 和“公民实验室”收到了关于这一组漏洞的报告,在本周五推出安全补丁。


攻击败露是因为一个人权活动家的警觉

根据《纽约时报》的报道,阿联酋人权活动家艾哈迈德·曼苏尔(Ahmed Mansoor)的 iPhone 6 在 8 月 10 日的时候,收到了攻击短信。
曼苏尔是“阿联酋五杰”(UAE Five)之一,曾因呼吁民主化改革在 2011 年入狱。作为一个工程师背景的异见人士,曼苏尔收到陌生人发来的短信后没有点链接,而是转给了“公民实验室”。
随后“公民实验室”和合作伙伴 Lookout 一路挖掘到了“天马”的起源。



阿联酋人权活动家艾哈迈德·曼苏尔

和电影里经常出现的黑客工具不同,“天马”不是什么天才少年黑客的作品,而是来自以色列科技公司 NSO Group Technologies。这套系统此前曾被曝光,但当时它所攻击的对象只是黑莓以及部分 Android 手机,不包括 iPhone。
2013 年,NSO 联合创始人 Omri Lavie 在接受《美国国防新闻周刊》的采访时称,他们能完全不被察觉地进入被监视对象的生活,不留痕迹。如今看来,所言非虚。


最安全的系统也不可能保证绝对安全

这次被攻破的 iOS 实际上几乎是普通消费者能买到的最安全的智能手机。
苹果除了互联网产品上常见的两步验证,还在旗下产品上启用了 two-factor 双重设备验证,引入硬件加密。
当你在其它地方登陆 Apple 账户的时候,双重设备验证会往你指定的硬件产品上发送验证码才能继续登陆。相比通过传统的两步验证,双重设备验证更加安全。
苹果双重设备验证,比互联网服务常用的两步验证更加安全
库克年初在用户隐私问题上公开反抗美国政府之后,进一步推进了全线产品的加密。
而用户更多的 Android 平台的漏洞就更多了,8 月份就有两个非常大的:Android 使用的 Linux 3.6 内核的一个漏洞可以让黑客通过网页访问嗅探用户的账号和密码,80% 的 Android 设备中招;另一个漏洞是高通芯片带来的,9 亿使用高通芯片的 Android 设备面临被黑客静默植入高权限木马的危险,而且修复补丁何时实装也遥遥无期。


不是名人你也不安全

关于数字安全一个常见的论调是,“我又不反动,有什么好怕的”。
的确,“天马”太贵了,不是重点目标,大概不会有人花十几万来获取你手机上的信息。(如果你还担心,可以用这个应用查一下)
但没人知道下一个系统漏洞会被什么人发现,下一个互联网公司的服务器会被什么人攻破。
不是每个黑客都像 NSO 公司有能力把武器高价卖给政府。要是下一个高危漏洞被一个急着换钱的黑客找到,可能就会变成一个大批量攻击的工具。
被人看短信、丢一个社交网络的密码或者邮箱密码,听上去可能不是特别大的事。但通过这些信息,攻击者有可能获得你的身份证号码、人际关系、出行计划,并将它们卖给诈骗者。
极少有人会相信中奖打 10 万过去的随机诈骗短信。但当骗子知道足够多的信息,而你又恰好在压力很大的时候,被骗的可能性就会大大增加。
比如“网购订单支付出现问题”、“你乘坐的航班被取消,请联络 xxx”的诈骗短信都屡屡成功。


这么做你的信息会安全一点

不要为省几块钱越狱。
收到提示后,及时升级操作系统。厂商的安全人员再努力也架不住你不升级系统。
不回复任何类似验证码的信息,有用户被人利用验证码的回复攻破了手机号码,偷走了所有存款。
不要使用相同的密码。近期 Dropbox 重置了一大批用户的密码,这些用户是 2012 年以后就没改过密码的人群,Dropbox 认为他们的账号有被撞库侵入的风险。
至少保住最关键的账号。很少有人能记得几十个复杂密码,你可以给特别不重要的服务都用相同的简单密码。但确保最关键的账号,比如支付宝、微信、Gmail、苹果账号用上不同的密码。
用 1Password 之类不上传到服务器的工具管理多密码,或者使用一种黑客永远也没法攻破的工具——拿笔写在本子上。
使用两步验证或者授权验证登陆。尽管通过短信的两步验证也有被攻破的风险,但有它远比没有安全。使用苹果设备的要开启 two-factor 双重验证。 
付款尽可能使用跳转到支付宝和微信的应用支付、少填银行卡号。今年一月,凯悦酒店集团的系统被黑客攻破,数百万客户的信用卡卡号和 CVV 码泄露——足以制卡盗刷,不需要支付密码。
海淘或为海外互联网服务付费的时候,尽量用 Paypal、Stripe、亚马逊之类的渠道支付,减少信用卡信息泄露的可能。
对于不常用的海外互联网服务,可以考虑买充值卡消费——同样是为了减少信用卡信息泄露。
注册互联网服务的时候尽量用邮箱,而不是更方便的手机号登录。当手机号和其它个人信息一同泄露,有可能帮助诈骗者编出更好的故事。大多数公司的短信验证都调用第三方服务,即便你相信自己注册的服务品牌,也没理由相信提供短信验证的公司。
如果实在不想用邮箱注册,微信也能提高安全性,它的登陆系统只授权名字和头像,对方能获得的信息比较少。
总之,填个人信息的时候不要那么实诚。在非绝对必要的情况外,少填真实个人信息,信息越多越容易被社会工程学利用。

相关阅读:

拥有iOS10系统的iPhone 7如何配置稳定好用的VPN软件

如何评价 App Store 开放搜索结果广告?

免费VPN和付费VPN对比

最好用的iOS VPN 轻松翻墙使用ins fb youtube 等软件

2016年最值得推荐的VPN加速器代理



没有评论:

发表评论