关于针对 Android 手机的“复杂黑客活动”你需要了解什么

国际特赦组织本周透露，其安全实验室发现了“一家雇佣间谍软件公司发起的复杂黑客活动”。他们表示，该活动“至少从 2020 年开始”就已开始，目标是存在大量“零日”安全漏洞的 Android 智能手机。（“零日”漏洞是一种以前未被发现且未得到缓解的漏洞。）

国际特赦组织向谷歌威胁分析小组披露了此次活动的细节，因此谷歌以及包括三星在内的其他受影响的公司已经能够为其设备发布必要的安全补丁。

国际特赦组织安全实验室负责监测和调查那些利用网络监控技术威胁人权捍卫者、记者和公民社会的公司和政府。该实验室在揭露 NSO 集团的 Pegasus 间谍软件被世界各国政府使用的程度方面发挥了重要作用。

虽然安全实验室继续调查这一最新的间谍软件活动，但国际特赦组织并未透露牵连的公司（尽管谷歌暗示是 Variston，这是它在 2022 年发现的一个组织）。无论如何，国际特赦组织声称，这次攻击“具有由商业网络监控公司开发并出售给政府黑客以进行有针对性的间谍软件攻击的高级间谍软件活动的所有特征”。

作为间谍软件活动的一部分，谷歌威胁分析小组发现阿联酋的三星用户正受到通过短信发送的一次性链接的攻击。如果他们在默认的三星互联网浏览器中打开该链接，一个“功能齐全的 Android 间谍软件套件”就会安装在他们的手机上，该套件能够解密和捕获来自各种聊天服务和浏览器应用程序的数据。

该漏洞利用了一系列零日漏洞和未修补的漏洞，这对三星来说是个坏消息。其中一个未修补漏洞的修复程序于 2022 年 1 月发布，另一个于 2022 年 8 月发布。谷歌认为，如果三星发布了安全更新，“攻击者将需要更多漏洞来绕过缓解措施。”（三星于 2022 年 12 月发布了修复程序。）

话虽如此，其中一个零日漏洞还允许黑客攻击 Linux 桌面和嵌入式系统，国际特赦组织表示，其他移动和桌面设备也已成为间谍软件活动的目标，该活动至少从 2020 年开始就一直在进行。该人权组织还指出，该间谍软件是由“一个由 1000 多个恶意域名组成的广泛网络，包括欺骗多个国家媒体网站的域名”提供的，这使其声称背后有一个商业间谍软件组织的说法更加可信。

虽然目前尚不清楚此次攻击的目标是谁，但国际特赦组织表示，“阿联酋的人权捍卫者长期以来一直是网络监控公司间谍软件工具的受害者。”例如，艾哈迈德·曼苏尔 (Ahmed Mansoor) 就因其人权工作而成为 NSO 集团间谍软件的目标并被判入狱。

除阿联酋外，国际特赦组织安全实验室还在印度尼西亚、白俄罗斯和意大利发现了间谍软件活动的证据，但其结论是“根据更广泛的攻击基础设施的广泛性，这些国家可能仅代表整体攻击活动的一小部分。”

“肆无忌惮的间谍软件公司对每个人的隐私和安全都构成了真正的威胁。我们敦促人们确保他们的设备安装了最新的安全更新，”安全实验室负责人 Donncha Ó Cearbhaill 在国际特赦组织网站的声明中说道。“虽然修复此类漏洞至关重要，但这只是全球间谍软件危机的一块救命稻草。我们迫切需要在全球范围内暂停间谍软件的销售、转让和使用，直到建立强有力的人权监管保障措施，否则复杂的网络攻击将继续被用作镇压活动人士和记者的工具。”

至少在美国，政府似乎同意这一点。拜登总统于 3 月 27 日签署了一项行政命令，禁止联邦机构使用“对美国政府构成重大反情报或安全风险，或对外国政府或外国个人不当使用构成重大风险”的间谍软件。