以色列商业间谍软件开发商 NSO 集团的飞马座 (Pegasus) 在过去几年里经常出现科技媒体上,飞马座间谍软件利用 iOS 系统可以实现在没有任何交互的情况下悄悄感染然后开启摄像头和麦克风进行监听。
正常情况下用户即便被感染也是无法发现的,因为桌面上不会存在任何图标以及设置里找不到相关痕迹,但 iOS 系统诊断日志仍然可以找到蛛丝马迹。
在 2024 年 5 月份移动安全软件开发商 iVerify 推出同名应用,该应用可以通过分析诊断日志分析用户是否存在感染行为,万万没想到现实中还真发现了感染。
按理说飞马座间谍软件主要针对的都是高价值目标,购买飞马座间谍软件发起攻击的通常也都是某些国家政府或执法机构,例如此前在欧洲就有执法机构被发现使用预算购买飞马座间谍软件用于发起针对特定目标的监视。
自推出以来到现在,iVerify 收到 2500 名用户提交的诊断数据,通过这些诊断数据 iVerify 分析出 7 起攻击,也就是说至少有 7 名用户在未知的情况下已经遭到飞马座间谍软件感染。
这背后是谁发起的那是说不清的,但至少这些被感染的用户知道自己也成为目标了,这时候就可以进行针对性防御,例如重置 iOS 系统并启用苹果提供的高级安全保护功能。
另外 2500 次检测中发现 7 起感染看起来比例不高,但这意味着 NSO 集团的客户们已经开始像是普通 APT (高级持续性威胁) 组织的做法,可能已经开始大规模利用飞马座间谍软件实现各类广泛的攻击。
iVerify 也分享了检测机制,iOS 系统的封闭性本身就让检测变得非常困难,他们通过使用尽可能靠近内核的遥测数据来调整机器学习模型,然后利用机器学习模型分析海量的日志寻找痕迹。
在成功检测出来的这 7 起攻击中,实际上使用的数据包括系统诊断数据、关机日志、崩溃日志,还要尽可能减少误报,总得来说想要检测出 NSO 集团这种规模的商业间谍软件开发商发起的攻击难度还是非常高的。
最后 iVerify 并非免费应用但看起来和免费没区别,其非订阅版在 App Store 的售价为 1 美元,这个版本被成为免费版,安装后即可进行检测并提交日志,大约在 1 个小时左右能收到检测结果。