題記：2017年四月，E安全報(bào)道過(guò) Pegasus 是世上最危險(xiǎn)的手機(jī)間諜軟件，今天再次報(bào)道，是因?yàn)榧幽么蠖鄠惗啻髮W(xué)公民實(shí)驗(yàn)室于9月18日發(fā)布了一則關(guān)于它的最新分析報(bào)告，該實(shí)驗(yàn)室一直在追蹤該軟件，于2016年就已經(jīng)發(fā)布過(guò)相關(guān)報(bào)告，當(dāng)時(shí)報(bào)告重點(diǎn)是該軟件利用 iOS 多年存在的三個(gè)零日漏洞，逐步精巧的拿下并控制蘋(píng)果手機(jī)的過(guò)程。

該軟件由以色列一家名叫 NSO 的公司開(kāi)發(fā)，該公司市值近10億。這樣一款處于灰色地帶的非法間諜軟件，精心包裝在一個(gè)合法的公司殼內(nèi)，該公司宣稱該軟件只賣給政府機(jī)構(gòu)，用來(lái)打擊恐怖分子和預(yù)防犯罪。如同當(dāng)年的木馬軟件，強(qiáng)調(diào)自己的遠(yuǎn)控功能，是為了讓網(wǎng)絡(luò)管理員們更方便的遠(yuǎn)程管理一樣。但是，間諜軟件和木馬軟件最終一樣泛濫成災(zāi)，從最初的美好愿望（合法化包裝），到背離初衷，Pegasus已經(jīng)染指全球45個(gè)國(guó)家。

作為一家商業(yè)化運(yùn)營(yíng)的公司，追求利潤(rùn)最大化毋庸置疑，銷售更多拷貝可以讓公司活得更好，所以單銷售給政府機(jī)構(gòu)用于反恐恐怕利潤(rùn)不夠，走入巨大的民用市場(chǎng)才能讓其財(cái)富呈幾何級(jí)數(shù)增長(zhǎng)。和 Pegasus 同樣知名的還有 FlexiSPY，以及 FinSpy。這些間諜軟件在民用市場(chǎng)中的玩法，其中有一個(gè)熱門的應(yīng)用場(chǎng)景，夫妻之間用于監(jiān)控伴侶，軟件可收集監(jiān)聽(tīng)語(yǔ)音通話、短信、社交軟件等等數(shù)據(jù)?；疑浖淖畛醯恼x面目到歪樓，從光明墜入到無(wú)邊黑暗，一切皆在意料之中。

加拿大多倫多大學(xué)公民實(shí)驗(yàn)室（Citizen Lab）當(dāng)?shù)貢r(shí)間9月18日發(fā)布報(bào)告披露，其通過(guò)掃描技術(shù)發(fā)現(xiàn) Pegasus 手機(jī)間諜軟件過(guò)去兩年活躍于全球45個(gè)國(guó)家，包括美國(guó)、英國(guó)和加拿大。

圖1 Pegasus間諜軟件的范圍和規(guī)模

Pegasus堪稱最危險(xiǎn)的間諜軟件，具有自毀功能

Pegasus 被認(rèn)為是目前為止最危險(xiǎn)的一款間諜軟件，由市值接近10億美元的以色列公司 NSO Group 開(kāi)發(fā)。這款間諜軟件可隱藏在蘋(píng)果或谷歌設(shè)備中，通過(guò)攝像頭實(shí)施監(jiān)控，通過(guò)麥克風(fēng)監(jiān)聽(tīng)對(duì)話，竊取文件，嗅探私密信息，以及執(zhí)行其他間諜活動(dòng)。

NSO 一直聲稱，其開(kāi)發(fā)的工具旨在追蹤恐怖分子、販毒團(tuán)伙等無(wú)惡不作的犯罪分子。然而，該公司并不像其宣稱的那般光明磊落，因?yàn)樗蛔グ砣肓四鞲绾桶⒙?lián)酋的間諜丑聞當(dāng)中。在兩起案例中，Pegasus 因被用于監(jiān)控活動(dòng)人士、記者和律師而遭到民權(quán)組織的強(qiáng)烈抗議。就在上個(gè)月（2018年8月），福布斯報(bào)道稱，專注阿聯(lián)酋問(wèn)題的研究員成為了 NSO 間諜軟件的目標(biāo)。最近，在以色列和塞浦路斯，針對(duì) NSO Group 的訴訟公開(kāi)了電子郵件，其似乎表明 NSO 曾入侵了阿拉伯某報(bào)社一名記者的電話。

圖2Pegasus收集的數(shù)據(jù)類型

Pegasus 感染受害者的前提是：誘騙用戶點(diǎn)擊鏈接，然后傳送一系列 0Day 漏洞，并在手機(jī)上秘密安裝 Pegasus。此后，這款間諜軟件便可通過(guò)手機(jī)的攝像頭和麥克風(fēng)執(zhí)行間諜活動(dòng)，它還可竊取短信、密碼、照片、聯(lián)系人列表、日程事件等。Pegasus 的主要功能如下：

記錄鍵盤(pán)；

捕獲截圖；

捕獲實(shí)時(shí)音頻；

通過(guò)短信遠(yuǎn)程控制這款惡意軟件；

抓取來(lái)自常用應(yīng)用程序（包括 WhatsApp、Skype、Facebook、Twitter、Viber 和 Kakao）的數(shù)據(jù)；

竊取瀏覽器歷史；

竊取來(lái)自安卓 Native Email 客戶端的電子郵件；

竊取聯(lián)系人和短信等。

Pegasus足跡遍布45個(gè)國(guó)家，或上百個(gè)國(guó)家

移動(dòng)安全公司 Lookout 無(wú)法證實(shí)公民實(shí)驗(yàn)室確定的這45個(gè)國(guó)家，但表示它也在追蹤 NSO，并檢測(cè)到 Pegasus 感染國(guó)家超過(guò)“三位數(shù)”，這意味著超過(guò)100個(gè)。

公民實(shí)驗(yàn)室的研究人員在45個(gè)國(guó)家發(fā)現(xiàn) Pegasus 的感染實(shí)例，這些國(guó)家包括阿爾及利亞、巴林、孟加拉國(guó)、巴西、加拿大、科特迪瓦、埃及、法國(guó)、希臘、印度、伊拉克、以色列、約旦、哈薩克斯坦、肯尼亞、科威特、吉爾吉斯斯坦、拉脫維亞、黎巴嫩、利比亞、墨西哥、摩洛哥、荷蘭、阿曼、巴基斯坦、巴勒斯坦、波蘭、卡塔爾、盧旺達(dá)、沙特阿拉伯、新加坡、南非、瑞士、塔吉克斯坦、泰國(guó)、多哥、突尼斯、土耳其、阿聯(lián)酋、烏干達(dá)、英國(guó)、美國(guó)、烏茲別克斯坦、也門和贊比亞。

圖3 Pegasus世界分布概覽

對(duì)于公民實(shí)驗(yàn)室的調(diào)查結(jié)果，NSO 的發(fā)言人在一份聲明中表示，報(bào)告中所列的許多國(guó)家都不在 NSO 的業(yè)務(wù)運(yùn)營(yíng)范圍內(nèi)。

間諜軟件無(wú)孔不入

公民實(shí)驗(yàn)室的研究員比爾·馬爾恰克表示：“間諜軟件被濫用的案例越來(lái)越多，并且有證據(jù)表明公司將間諜軟件出售給了不應(yīng)擁有它的政府。我只能希望我們的調(diào)查能讓這些公司銷售間諜軟件時(shí)三思而后行，希望潛在與專制政府打交道時(shí)要再三考慮，以及讓潛在的投資者再三斟酌向獨(dú)裁者出售間諜軟件存在的固有風(fēng)險(xiǎn)?！?/p>

Lookout 安全情報(bào)副總裁邁克·莫里表示：“我們知道 NSO 正在繼續(xù)擴(kuò)大業(yè)務(wù)，他們積累了很多客戶?！?/p>

多年來(lái)，數(shù)字人權(quán)研究人員一直在調(diào)查從事政府間諜軟件業(yè)務(wù)（也就是所謂的“合法攔截”）的公司，這些公司包括 Hacking Team、FinFisher 和 NSO，這些公司開(kāi)發(fā)監(jiān)控軟件，并專門推銷給全球的政府機(jī)構(gòu)。

多年來(lái)，公民實(shí)驗(yàn)室和其他組織記錄了多個(gè)濫用這些工具攻擊記者、異見(jiàn)人士和人權(quán)工作者的案例。 2014年，公民實(shí)驗(yàn)室在21個(gè)國(guó)家發(fā)現(xiàn) Hacking Team 的蹤跡，分別于2013年和2015年通過(guò)掃描在25和32個(gè)國(guó)家發(fā)現(xiàn) FinFisher 的身影。