IOS漏洞可追溯到以色列用于埃及政客的间谍软件

据安全研究人员称，周四新披露的iOS漏洞被用来在一名竞选总统的埃及政客的iPhone上安装间谍软件。

这一发现来自间谍软件监督组织公民实验室，该组织与谷歌合作，于本月早些时候向苹果报告了这些漏洞。周四，苹果匆忙发布了一个紧急补丁，以保护iPhone、iPad和Mac电脑免受威胁。

公民实验室表示，在埃及总统候选人艾哈迈德·埃尔坦塔维因怀疑他的iPhone被泄露而联系该组织后，他们发现了这些漏洞。Citizen Lab在报告中称：“我们的法医分析显示，曾多次试图用Cytrox的Predator间谍软件攻击Eltantawy。”

Cytrox是一家以色列-匈牙利网络武器经销商，向外国政府销售。此前有记录显示，该公司的“捕食者”间谍软件会感染两名流亡埃及人的设备，以及其他目标，其中包括Facebook母公司Meta的一名员工。

在Eltantawy的案例中，攻击利用三个iOS漏洞秘密安装了Cytrox的Predator间谍软件。利用这些漏洞，黑客可以在网站上设置诱杀装置，在iPhone上触发流氓计算机代码，提升他们在iOS上的黑客权限，还可以绕过苹果的安全系统，检查安装的应用程序是否合法。结果为零点击攻击铺平了道路，不需要用户交互。因此，公民实验室敦促所有iPhone用户为他们的设备打补丁。

但也许最令人不安的发现是，Eltantawy自己的手机提供商在他的手机上安装间谍软件的过程中发挥了作用。沃达丰埃及公司将他的iPhone浏览器转发到了恶意网站，这些网站旨在加载Predator的有效载荷。

“2023年8月和9月，当Eltantawy使用他的沃达丰埃及移动数据连接在手机上没有HTTPS的情况下访问某些网站时，他被静默地通过网络注入重定向到一个网站(c.betly[.]Me)，”Citizen Lab指出。

谷歌自己的报告补充说，如果恶意的c.betly[.]me域检测到访问者是正确的目标，它会将用户发送到另一个网站，该网站继续利用iOS漏洞劫持iPhone。

沃达丰没有立即回复记者的置评请求。但该运营商的涉嫌参与使公民实验室得出结论，埃及政府本身是间谍软件攻击的幕后黑手。

“鉴于埃及是Cytrox‘s Predator间谍软件的已知客户，而且间谍软件是通过网络注入从位于埃及境内的设备传递的，我们高度自信地将网络注入攻击归因于埃及政府，”该组织补充道。

为了进一步攻击Eltantawy的iPhone，攻击者还依赖于钓鱼消息。公民实验室注意到了2021年9月的几条短信，然后今年3月和9月被发送到他的设备上，假装来自WhatsApp。“事实上，点击[信息]中的链接很可能已经在Eltantawy的手机上感染了Cytrox的Predator间谍软件，”Citizen Lab说。

另一批可能带有捕食者间谍软件链接的消息也是在6月和7月通过真正的WhatsApp服务到达的。在这种情况下，这些信息来自一个名叫“Angie Raouf”的人，他自称在国际人权联合会工作。

Cytrox没有公开网站，因此PCMag无法联系到该公司请其置评。早在7月份，拜登政府就将Cytrox及其姊妹公司Intelexa列入美国出口管制黑名单，该黑名单旨在阻止美国公司与其开展业务。

但尽管被列入黑名单，Cytrox看起来仍在活跃。公民实验室补充说：“在一个国家的民主反对派高级成员宣布有意竞选总统后，使用雇佣军间谍软件瞄准他们，这显然是对自由和公平选举的干预。”