以色列一家监控公司被发现感染了iphone间谍软件可能是利用苹果的iCloud日历邀请系统。
这些发现来自微软和监督组织公民实验室,他们调查了据称来自以色列QuaDream的间谍软件样本。这种间谍软件被称为“EndofDays”,早在2021年就被使用过"零点击"利用——或者一种无需用户点击任何东西就能劫持iPhone的攻击。
推特(在新窗口中打开)
一旦它被感染,EndofDays就可以记录电话音频,秘密拍照,在设备中搜索文件,以及其他功能,包括可以擦除间谍软件痕迹的自毁功能。
自我清除能力使我们很难理解攻击的全部范围。但是在它的报告(在新窗口中打开)公民实验室(Citizen Lab)发现的证据表明,QuaDream很可能利用“间谍软件运营商向受害者发送的看不见的iCloud日历邀请”来实施攻击。
间谍软件样本本身包含从iOS日历中删除与特定电子邮件地址相关的事件的能力。公民实验室还检查了两名间谍软件受害者的iphone,发现日历邀请ICS文件有被篡改的痕迹。
“我们怀疑攻击者在。ics中使用关闭和打开CDATA标签可能有助于包含额外的XML数据,这些数据将由用户的手机处理,以触发攻击者想要的一些行为,”公民实验室说。
因此,间谍软件可能是通过带有恶意日历邀请的电子邮件到达的。Citizen Lab研究员Bill Marczak还指出,恶意的日历邀请是针对过去记录的事件,这使得iCloud无法自动通知用户有关邀请的信息。然而,研究人员无法从ICS文件中恢复任何XML数据。
推特(在新窗口中打开)
公民实验室的报告接着说,EndofDays感染了至少五名受害者,包括记者、政治反对派人物和一名非政府组织工作人员。受害者分布在北美、中亚、东南亚、欧洲和中东。
尽管苹果似乎在2021年通过各种软件更新修补了间谍软件漏洞,但微软说(在新窗口中打开)“很有可能”QuaDream已经更新了他们在最新版本的iOS上劫持iphone的策略。
QuaDream保持着一种朦胧的存在;该公司没有公共网站或社交媒体账户。但根据(在新窗口中打开)据路透社报道,QuaDream已将其间谍软件技术出售给墨西哥、沙特阿拉伯和新加坡的执法部门客户。
公民实验室还公布的证据显示,QuaDream在10个国家维护服务器,从感染该公司间谍软件的设备上窃取数据,这些国家包括捷克共和国、墨西哥、罗马尼亚、加纳和阿拉伯联合酋长国。
公民实验室补充说:“最终,这份报告提醒我们,雇佣军间谍软件行业比任何一家公司都要大,研究人员和潜在目标都需要保持警惕。”
苹果发言人告诉PCMag,自iOS 14.4.2于2021年3月发布以来,没有证据表明QuaDream的漏洞被使用。该公司还开发了一种可选的新型“封锁模式”,这可以阻止专业人士的黑客攻击间谍软件公司。