一名女性的iPhone如何揭露全球黑客行为

一位女士帮助扭转了全球反对NSO集团的潮流，NSO集团是世界上最老练的间谍软件公司之一，目前在华盛顿面临一连串的法律诉讼和审查，指控其软件被用来入侵政府的破坏性监视世界各地的官员和持不同政见者。

这一切都始于这位女士iPhone上的软件故障。

据参与该事件的六名人士称，NSO间谍软件中的一个不寻常错误使沙特妇女权利活动家Loujain al-Hathloul和隐私研究人员发现了大量证据，表明这家以色列间谍软件制造商帮助入侵了她的iPhone。她手机中的一个神秘虚假图像文件被间谍软件错误地留下，向安全研究人员提供了线索。

去年al-Hathloul手机上的发现引发了一场法律和政府行动风暴，使NSO集团处于防守姿态。这里首次报道了黑客最初是如何被发现的。

Al-Hathloul是沙特阿拉伯最著名的活动家之一，以帮助领导一场结束沙特阿拉伯女性司机禁令的运动而闻名。她于2021年2月以危害国家安全罪名入狱。

在她从监狱获释后不久，这位活动家收到了一封来自谷歌的电子邮件，警告她有国家支持的黑客试图侵入她的 Gmail 账户。三名与 al-Hathloul 关系密切的人士透露，由于担心她的 iPhone 也被黑客入侵，al-Hathloul 联系了加拿大隐私权组织 Citizen Lab，并要求他们调查她的设备以获取证据。

在挖掘了她的iPhone上的记录6个月后，Citizen Lab 研究员 Bill Marczak 做出了他所描述的前所未有的发现：植入她手机的监控软件出现故障，留下了恶意图像文件的副本，而不是自行删除，之后窃取其目标的消息。

他说，攻击留下的计算机代码的发现提供了 NSO 构建间谍工具的直接证据。

“它改变了游戏规则，”Marczak 说，“我们捕捉到了公司认为无法捕捉的东西。”

比尔·马尔扎克（Bill Marczak）

据四名直接了解该事件的人士称，这一发现相当于揭露了一个黑客帝国蓝图，并直接导致苹果公司(AAPL.O)通知了全球数千名其他国家的黑客受害者。

Citizen Lab 和 al-Hathloul 的发现为 Apple 于 2021 年 11 月对 NSO 提起诉讼提供了依据，并在华盛顿引起了反响，美国官员获悉 NSO 的网络武器被用来监视美国外交官。

近年来，随着世界各国政府购买电话窃听软件，间谍软件行业实现了爆炸式增长，这种软件曾经只有少数精英情报机构才能进行数字监控。

在过去一年中，包括国际新闻合作 Pegasus 项目在内的记者和活动家的一系列爆料将间谍软件行业与侵犯人权行为联系在一起，从而推动了对 NSO 及其同行的更严格审查。

但安全研究人员表示，al-Hathloul 的发现首次提供了一种强大的新形式网络间谍活动的蓝图，这是一种无需用户交互即可渗透设备的黑客工具，提供了迄今为止最具体的武器范围证据。

NSO发言人在一份声明中表示，该公司不运营其销售的黑客工具：“政府、执法和情报机构负责。” 该发言人没有回答有关其软件是否被用于针对 al-Hathloul 或其他活动人士的问题。但该发言人表示，提出这些指控的组织是“网络情报的政治反对者”，并暗示其中一些指控“在合同和技术上是不可能的”。该发言人以客户保密协议为由拒绝提供细节。

该公司没有详细说明具体细节，但表示它有一个既定程序来调查涉嫌滥用其产品的行为，并因人权问题切断了客户的联系。

Al-Hathloul 有充分的理由怀疑——这不是她第一次被监视。

路边社2019年的一项调查显示，她在2017年成为美国雇佣兵团队的目标，他们代表阿拉伯联合酋长国根据名为“乌鸦计划”的秘密计划监视持不同政见者，该计划将她归类为“国家安全威胁”并侵入了她的 iPhone。

她在沙特阿拉伯被捕并入狱近三年，她的家人说她在那里受到了从她的设备中窃取的信息的折磨和审讯。Al-Hathloul 于 2021 年 2 月获释，目前被禁止离开该国。

路边社没有证据表明 NSO 参与了较早的黑客攻击。

Al-Hathloul 的监视和监禁经历使她下定决心收集可用于对付那些使用这些工具的人的证据，她的妹妹 Lina al-Hathloul 说。“她觉得她有责任继续这场斗争，因为她知道她可以改变一切。”

Citizen Lab在al-Hathloul的iPhone上发现的间谍软件类型被称为“零点击”，这意味着用户无需点击恶意链接即可被感染。

零点击恶意软件通常会在感染用户后自行删除，从而使研究人员和科技公司没有武器样本可供研究。安全研究人员表示，这几乎不可能收集到iPhone上黑客攻击的确凿证据。

但这一次不同。

软件故障在al-Hathloul的iPhone上留下了隐藏的间谍软件副本，使Marczak 和他的团队能够获得攻击的虚拟蓝图和制造者的证据。

“我们在这里拿到了犯罪现场的弹壳，”他说。

Marczak和他的团队发现，间谍软件的部分工作原理是通过一条不可见的短信向al-Hathloul发送图片文件。图像文件诱使iPhone访问其整个内存，绕过安全性并允许安装间谍软件，从而窃取用户的信息。

Marczak说，公民实验室的发现提供了确凿的证据，证明网络武器是由 NSO 制造的，据三位直接了解情况的人士透露，Marczak的分析得到了国际特赦组织和苹果公司的研究人员的证实。

Marczak 说，在 al-Hathloul 的设备上发现的间谍软件包含的代码显示它正在与 Citizen Lab 之前确定为由 NSO 控制的服务器进行通信。Citizen Lab 将这种新的 iPhone 黑客方法命名为“ForcedEntry”。研究人员随后于去年 9 月将样本提供给了苹果公司。

掌握了攻击蓝图后，Apple 可以修复关键漏洞，并让他们通知数以千计被 NSO 软件攻击的其他 iPhone 用户，警告他们已成为“国家支持的攻击者”的目标。

参考链接：

这是苹果第一次迈出这一步。

据路透社本月早些时候报道，虽然苹果公司确定绝大多数是通过 NSO 的工具成为目标的，但安全研究人员还发现第二家以色列供应商 QuaDream 的间谍软件利用了相同的 iPhone 漏洞。QuaDream 没有回应多次置评请求。

受害者包括批评泰国政府的持不同政见者和萨尔瓦多的人权活动家。

引用从 al-Hathloul 手机中获得的调查结果，Apple 于 11 月在联邦法院起诉 NSO，指控该间谍软件制造商违反了美国法律，制造了旨在“针对、攻击和伤害 Apple 用户、Apple 产品和 Apple”的产品。苹果认为 Citizen Lab 提供了用作诉讼证据的“技术信息”，但没有透露它最初是从 al-Hathloul 的 iPhone 中获得的。

NSO 表示，其工具已协助执法并挽救了“数千人的生命”。该公司表示，一些归咎于 NSO 软件的指控不可信，但拒绝详细说明具体的指控，理由是与客户签订了保密协议。

据知情人士透露，在苹果警告的那些人中，至少有9名美国国务院在乌干达的员工成为 NSO 软件的目标，这在华盛顿引发了对该公司的新一轮批评。

延伸阅读：

11 月，美国商务部将 NSO 列入贸易黑名单，限制美国公司销售以色列公司的软件产品，威胁其供应链。商务部表示，该行动是基于国家统计局的间谍软件被用来针对“记者、商人、活动家、学者和大使馆工作人员”的证据。去年 12 月，民主党参议员罗恩·怀登 (Ron Wyden) 和其他 17 名立法者呼吁财政部制裁 NSO 集团和其他三家外国监控公司，他们说这些公司帮助威权政府侵犯人权。

“当公众看到美国政府数据遭到黑客攻击时，这显然改变了方向，”怀登在接受路边社采访时表示，他指的是针对美国官员在乌干达的攻击。

Loujain 的妹妹 Lina al-Hathloul 表示，对 NSO 的财务打击可能是唯一可以阻止间谍软件行业的因素。“这击中了他们的痛处，”她说。