引言

2022年5月4日，今天微博热搜看到这么一条话题，如图：

我上午9点多看的时候还是排在热搜23位，10点多再看已经掉到41位了。大致内容就是：一个名叫“飞马”的间谍软件监控了5万多个电话号码，包括多个国家的政府首脑，比如法国总统马克龙。

以往每年都会爆出一些相关的网络安全事件，比如2017年的勒索病毒、2018年的“驱动人生”供应链入侵、2019年的Facebook数据库泄露、2020年勒索变种TrickBot病毒肆虐；2021年incaseformat蠕虫病毒爆发…

但此次的木马于以往的都不一样，它的针对性较强，基本上是冲着ios系统来的，而ios系统一直以来都是以高安全性著称的，本期就来讨论一下关于飞马间谍软件的入侵事件。

飞马间谍软件

其实这不是飞马第一次出现，早在2016年就已经有了。只是那时大家不怎么关注。2016年8月25日，苹果系统iOS 9.3.5版本紧急上线， 如下图：



另外，在苹果官方更新日志中有提到：修复了重要安全问题。苹果提醒用户尽快更新补丁，还说涉及的iOS安全问题是“前所未有”的。

苹果在文中所指的重要安全问题，其实就是3个内核级别的0-day漏洞，这3个漏洞足以让攻击者对全球范围内的iPhone设备进行监听。

这3个漏洞的EXP是一款名为Pegasus的软件，据说Pegasus是希腊神话中带翅膀的飞马，因此也叫飞马软件，又因为该木马主要监控的是政治人物，所以就叫飞马间谍软件（以下简称飞马）。这款软件是以色列的NSO Group集团开发的，他的客户大多是政府机构。

飞马可对设备进行全面控制，包括获取设备中的数据，通过麦克风监听对话，检测GPS信号位置，跟踪即时通讯应用的对话内容等等。Lookout在报告中说“这是我们在终端设备上见过最复杂的精致的攻击”。

飞马是款不折不扣的情报软件，它的开发目标就是为执法机构服务，和黑市中出售的其它间谍软件类似，只不过程序设计更加复杂，功能更加强大。

攻击过程

飞马入侵的整个攻击过程：

首先通过发送短信引诱受害者点击短信中的url，访问攻击者搭建好的恶意站点；然后服务器会传输感染用户级别权限的playload，进一步利用0day漏洞提权，获取内核级别权限，从而完全控制手机。如图：

攻击过程很简单，受害者只需要点击一个网址，就能达到越狱的效果，进而被感染木马，最后失去对手机的控制权。类似获取了root权限，如图：

漏洞利用过程如图：

飞马利用0-day漏洞使得远程攻击者控制iOS设备，并对iOS用户进行窃听，整个过程是在用户几乎无法察觉的情况下进行的。

飞马可访问和释放的数据包括：短信、邮件、通话记录、Gmail，也包括Facebook、Line、Mail.Ru、日历、微信、Tango、WhatsApp、Viber、Skype等在内的即时通讯应用数据。

截止到发布iOS 9.3.5安全补丁，飞马影响的iOS版本，从iOS 9.3.4一直到iOS 7，这说明，飞马很可能已经在毫不知情的情况下，持续监听了iOS设备用户好几年时间。

----------------------手动分割线----------------------

看完以上内容，估计有的小伙伴心里会想，就这也能上热搜，好几年前的木马。只要我不点短信里的链接不就行了，更何况这些漏洞在iOS 9.3.5就被修复了，我的手机早就升级到iOS 14.0了，安全的不得了。

然而飞马并没有远去，2021年7月，国外多家知名媒体再度披露“飞马（Pegasus）”间谍软件。还是 NSO 开发的，用于监视有影响力的人。报道部分内容如下：

飞马一旦侵入手机，可以在使用者毫不知情的情况下，提取短信、照片、电子邮件，对通话进行录音，远程开启手机的麦克风和摄像头，对用户隐私造成极大威胁。此次“飞马”的入侵范围更是遍布全球 50 多个国家，可能被监控人数高达 5 万。

这次的飞马（为了区分，以下称“飞马2号”）和16年的不同，一家名为Amnesty International的组织发现，即使是最新的 iOS 14.6 系统的 iPhone 12，飞马2号也可以入侵，甚至都不需要点击链接。

前面我们说了，这种间谍软件会向目标设备发送一条包含恶意链接的短信，因此只要不点链接就能避免攻击。但这次的“飞马”是升级版本，就算不点链接，依旧可以悄无声息地入侵目标手机。《卫报》认为“飞马”可能是迄今为止“最强的间谍软件”。

有研究分析，飞马2号入侵 iPhone来自于iMessage。戏剧性的是，苹果2021年初，还曾加强 iMessage 的安全性，创建了一个名为 BlastDoor 的功能，以筛选屏蔽可疑的信息进入手机。飞马2号可通过 iMessage 入侵最新版本的 iOS，所以很明显，这个举措并没能保护设备的安全。

苹果的iMessage安全性其实很高，iMessage 采用的是端到端加密，但同时也让入侵变地难以察觉，对攻击者而言这是绝佳的入侵环境。这种不透明的制度令研究人员很难检查 iPhone 的内部情况。“除非特别不走运，不然攻击者植入在手机上的软件根本不会被发现。”

飞马2号只需要知道手机号，然后向受害者发送一条短信，不需要受害者去点，受害者的手机就处在监控之下了。在被入侵之后，手机上的图片，通话记录，联系人，短信、聊天记录等信息都会传给远程的黑客服务器。

为了解决这个问题，苹果紧急推送了IOS 14.7，但能否阻止“飞马”的入侵，尚未可知。不过从今天的消息来看，并未完全阻止飞马入侵。

2021年10月12日，苹果向全球用户推送了一次更新，版本号为iOS 15.0.2，同时发布的还有 iPadOS 15.0.2。本次更新紧急修复了一个0day漏洞，漏洞编号CVE-2021-30883。如图：

该漏洞出现在IOMobileFrameBuffer区域，涉及一个严重的内存损坏问题。攻击者可通过应用程序触发漏洞，并使用内核权限来执行命令。该漏洞是由某位不愿透露姓名的安全研究人员报告的。苹果iOS 15.0.2系统更新适用于iPhone 6及更高版本、iPad Pro（所有型号）、iPad Air2及更高版本、iPad第5代及更高版本、iPad mini4及更高版本，以及iPod Touch（第7代）。

一位名叫Saar Amar的研究人员为该漏洞编写了PoC，并在iOS 14.7.1–iOS 15.0.1系统上进行了测试，效果一致。

苹果回应

针对这件事，苹果官方声称：“ 十多年以来，苹果在安全创新方面一直处于业界领先水平，安全研究人员也一致认为 iPhone 是市场上最安全的移动设备。苹果认为飞马这类间谍软件的攻击非常复杂，开发成本需数百万美元，“保质期”通常较短，并且是针对特定的人，不会对绝大多数的苹果用户造成威胁。”

此外苹果公司正逐步修复相关漏洞：

1. 2021年 7月，修复一个0day漏洞，编号为CVE-2021-30807；
2. 2021年9月，修复iOS和macOS的两个0day漏洞，编号分别为CVE-2021-30860，CVE-2021-30858；
3. 2021年9月，修复一个0day漏洞，编号为CVE-2021-30860，被用来部署NSO飞马间谍软件；

总的来说2021年苹果修复了很多0day漏洞。除了上面3个还有如下：

CVE-2021-1782
CVE-2021-1870
CVE-2021-1871
CVE-2021-1879
CVE-2021-30657
CVE-2021-30661
CVE-2021-30663
CVE-2021-30665
CVE-2021-30666
CVE-2021-30713
CVE-2021-30761
CVE-2021-30762

复盘总结

在飞马事件中，苹果受影响最大，因为苹果一直以来都在强调对用户数据及隐私安全的重视，安全性是其与谷歌及微软同类产品竞争的主要优势。苹果多次批评Android系统更加容易被恶意软件攻击，大肆渲染iOS相对Android更加安全。在回复欧盟的调查时也不忘踩Android一脚，如图：

库克在回应侧载应用时，再次嘲讽Android，说：想要侧载应用程序的用户，可以考虑购买安卓设备，iPhone最大限度地保护用户的安全和隐私。

在2016年，苹果公司凭借拒绝给FBI解锁某“恐怖分子” iPhone的做法，让苹果得到了“隐私捍卫者”的光环，也让“安全”成为了苹果手机的一大卖点。实际上也确实如此，很多购买iPhone的用户就是奔着数据和隐私安全去的。

iOS和Mac OS之所以会让人认为安全，主要是因为其封闭的生态特性和端到端加密，但这是一把双刃剑，IOS的封闭机制，保障了一定的安全性，但是也让漏洞的发现和修复变得更加困难。

IOS开发只能是利用苹果提供的API接口，系统底层源码是不对外公布的，只有苹果内部的系统开发工程师才有权限接触，而Android系统的源码则是开源的，任何人都可以在开源项目组上获取到安卓的AOSP内核源码信息，只要你有能力，就可以对其进行各种形式的定制开发，国内的MIUI、Emotion UI、Funtouch OS都是这样来的。

但是，苹果封闭的特性并非100%安全，因为没人可以在长时间内保证苹果系统的源码不被泄露，而源码一旦被泄露，就会被黑客进行研究和针对。加之苹果系统的封闭性，世界上其他有能力的系统安全人员无法帮助苹果去修复这些漏洞，苹果想要发现和修复这些漏洞必须要完全依靠自己的力量，在效率上要低很多。所以，苹果系统一旦出现漏洞问题，会比Android以及Windows更严重。

反观采用Linux内核的安卓系统得益于广泛的联合研发和成果共享，在一些系统漏洞的修复方面会显得更加积极，一旦某个开发者发现了一个漏洞，他自己就可以进行修复，然后分享到开源社区，从而得到解决，这也是Linux系统被认为比Windows系统更安全的原因之一。因为大部分容易被攻击的漏洞都被全世界的开发者给修复得差不多了，黑客想要发现漏洞变得越来越难，这种群策群力的模式，反倒让Android系统变得越来越安全。当然主要还是谷歌自身的努力，谷歌近些年也在不断完善系统的安全性，包括权限划分和同态权限等等。

这次的登上热搜的飞马，给了苹果当头一棒。让苹果引以为豪的安全成了摆设。苹果自称的安全并非真的做到了，比如AppStore。虽然库克说用户只能通过AppStore下载应用，但还是有很多方法可以绕过AppStore，像iOS签名、TestFlight测试等等，这次的飞马间谍软件，就是通过AppStore之外的渠道下载安装运行的，希望苹果能进一步加强安全性，彻底杜绝除AppStore以外的途径安装应用。

最后，虽然我们平民老百姓不会受到"间谍软件"的光顾，但Amnesty组织还是开发了名为 MVT (Mobile Verification Toolkit) 的工具。这款工具类似于一个PoC，可以用来确认自己的手机是否遭到了“飞马”的监听。 Android 和 iOS 都可以用，不过对 iPhone 的检测更为准确。这里给出GitHub地址：

https://github/AmnestyTech/investigations/tree/master/2021-07-18_nso

MVT 会扫描用户的 iPhone 备份文件以查找入侵证据。大约需要一两分钟，然后在文件夹中生成几个文件，其中包含扫描结果。如果 MVT 发现手机疑似被入侵的迹象，会在输出的文件中说明。

今天是五四青年节，也是五一最后一天假期，祝各位节日快乐。更多内容敬请关注（公众号）“极客随想”。