俄罗斯间谍使用来自美国承包商的iPhone漏洞

令人担忧的漏洞轨迹

Google的威胁分析小组已确认，俄罗斯国家间谍组织和中国网络犯罪组织使用的一系列复杂iPhone黑客工具，其部分来源来自美国国防承包商自身的开发工作。这一发现引发了紧迫问题：为国家安全目的开发的进攻性网络能力如何最终落入外国对手手中。

据TechCrunch报道，这一发现代表了迄今为止最具体的漏洞扩散问题例子。网络安全专家多年来一直对此提出警告。政府虽然在开发进攻性网络能力上投入巨大，但这些工具和技术可通过多种渠道传播——从商业间谍软件供应商的蓄意销售到盗窃、泄露以及多个行为体对同一漏洞的独立重新发现。

工具包及其功能

Google的研究人员通过持续监控国家赞助的威胁行为体，识别了这些黑客工具。该工具包针对iOS（Apple的移动操作系统）中的漏洞，使攻击者能够在不需要目标点击恶意链接或采取任何行动的情况下获得iPhone访问权限——这种能力被称为零点击漏洞。

零点击漏洞是最有价值、最危险的移动黑客工具类别。它们利用手机处理传入数据（如消息、电子邮件或网络数据包）方式中的缺陷来执行恶意代码，而用户甚至不知道发生了什么。开发这些漏洞需要深厚的技术专长和大量资源，这就是为什么它们主要与政府机构和商业间谍软件行业相关。

该工具包利用的具体漏洞已由Apple修补，但这些补丁部署前的曝露时间使未知数量的设备容易受到监视。

工具如何跨越国界传播

从美国国防承包商开发实验室到俄罗斯情报部门的路径尚未完全明确。几种情景都有可能。这些工具可能是通过针对承包商本身的网络入侵被盗的——这是情报机构已知会追求的供应链攻击形式。或者，这些工具或其基础的漏洞信息可能通过在灰色市场中运营的中间经纪人被共享。

商业漏洞市场是一个全球生态系统，漏洞研究人员、经纪人和政府客户在此交易进攻能力。虽然美国及其盟国是主要参与者，但市场也为西方政府希望排除的客户提供服务。经纪人可能在原始开发者不知道或未同意的情况下向多个客户销售相同的漏洞。

第三种可能是独立重新发现——俄罗斯和美国的研究人员可能分别发现并利用了相同的iOS漏洞。然而，Google确认的工具包中的结构相似性暗示的是比平行开发更直接的联系。

国防承包商的影响

美国国防承包商的参与增加了以前漏洞扩散案例所缺乏的问责层面。当NSO Group等商业间谍软件公司向外国政府销售时，转让至少是有意的，即使有争议。在这个案例中，承包商显然失去了对为合法国家安全目的开发的工具的控制。

从事进攻性网络能力工作的国防承包商在严格的安全要求下运营，包括机密网络基础设施、人员许可和赞助政府机构的监督。足够严重的违规行为会触发承包商及其政府客户的调查。

更广泛的扩散挑战

这一事件突出了进攻性网络域中的根本矛盾。政府辩称开发漏洞对于情报收集、反恐和军事行动是必要的。但每个开发的工具都代表潜在的扩散风险。与需要大量物理基础设施的核武器不同，网络工具是软件——它们可以被复制、盗窃并以最少的基础设施部署在世界任何地方。

网络安全社区长期以来一直倡导在漏洞市场中进行更大的透明度和问责，包括向受影响供应商强制披露漏洞和限制向人权纪录不佳的政府销售进攻工具。《瓦塞纳尔协议》是一项国际出口管制制度，包括监控技术的规定，但执行仍不一致。

接下来会发生什么

Google的披露可能会引发国会关注，尤其是来自已对商业间谍软件行业对国家安全影响表示担忧的立法者。发现美国开发的工具正被用于对付盟国的情况可能会加强对进攻性网络开发和分发的更严格控制的论证。对于iPhone用户，立即的建议保持一致：将设备更新到最新iOS版本，因为Apple定期修补这些工具利用的漏洞。

本文基于TechCrunch的报道。阅读原文。