阿聯(lián)酋知名民權(quán)活動(dòng)家艾哈邁德·曼蘇爾的 iPhone 6 收到一條短信，稱(chēng)有“阿聯(lián)酋監(jiān)獄虐囚的新秘密”，文末附有超鏈接。

如果他點(diǎn)下鏈接，這部 iPhone 便會(huì)被遠(yuǎn)程控制，發(fā)件人將能看到里面的所有短信、郵件、通話記錄，并且可以追蹤到屏幕上的每一次點(diǎn)擊。甚至，他們可以監(jiān)聽(tīng)手機(jī)周遭的聲音，而曼蘇爾的 iPhone 屏幕上什么都看不出來(lái)。

控制這部手機(jī)的，是以希臘神話中的“天馬”（Pegasus）命名的黑客工具。

盡管整件事聽(tīng)上去和《諜影重重 5》里中情局發(fā)起的遠(yuǎn)程攻擊類(lèi)似，但這不是好萊塢編劇構(gòu)想的電影情節(jié)，而是已經(jīng)發(fā)生的事情。

本周五，蘋(píng)果發(fā)出 iOS 9.3.5 系統(tǒng)更新，唯一目的便是為了防御“天馬”的攻擊。

類(lèi)似電影情節(jié)的攻擊

根據(jù)蘋(píng)果公司的公告，iOS 9.3.5 修復(fù)了三個(gè)由公民實(shí)驗(yàn)室（Citizen Lab）和 Lookout 提交的安全威脅。前者是多倫多大學(xué)國(guó)際關(guān)系學(xué)院下屬的技術(shù)實(shí)驗(yàn)室，后者是一家位于舊金山的移動(dòng)安全公司，曾曝光過(guò)多個(gè)手機(jī)漏洞。

在蘋(píng)果發(fā)布升級(jí)補(bǔ)丁后，Lookout 官方博客刊文介紹了“天馬”對(duì) iPhone 的攻擊能力。

非常可怕。可怕之處在于，“天馬”利用這組漏洞的攻擊不僅效果驚人而且悄無(wú)聲息。

用戶只要點(diǎn)擊了特定鏈接，“天馬”可以完全不留痕跡地裝進(jìn)用戶的 iPhone。鏈接來(lái)源沒(méi)什么要求，可以是短信、郵件也可以是社交應(yīng)用，只要打開(kāi)它就會(huì)安裝“天馬”。

“天馬”可以將 iPhone 中所有未經(jīng)加密的資料上傳到指定服務(wù)器、并且還可以記錄屏幕點(diǎn)擊，這樣一來(lái)就算加密的信息也能拿到了——只要加密就需要輸入密碼，拿到密碼就有一切。

更夸張的是，“天馬”可以靜默啟用 iPhone 的攝像頭、麥克風(fēng)監(jiān)視主人活動(dòng)。

除了什么都能干以外，“天馬”在反追蹤方面也頗下功夫，在 4G 聯(lián)網(wǎng)時(shí)它會(huì)放慢數(shù)據(jù)傳輸速度以避免過(guò)快消耗電力或流量。當(dāng)手機(jī)連接 Wi-Fi 的時(shí)候則會(huì)加快數(shù)據(jù)偷取，讓用戶更難以察覺(jué)。

蘋(píng)果 8 月中旬從 Lookout 和“公民實(shí)驗(yàn)室”收到了關(guān)于這一組漏洞的報(bào)告，在本周五推出安全補(bǔ)丁。

攻擊敗露是因?yàn)橐粋€(gè)人權(quán)活動(dòng)家的警覺(jué)

根據(jù)《紐約時(shí)報(bào)》的報(bào)道，阿聯(lián)酋人權(quán)活動(dòng)家艾哈邁德·曼蘇爾（Ahmed Mansoor）的 iPhone 6 在 8 月 10 日的時(shí)候，收到了攻擊短信。

曼蘇爾是“阿聯(lián)酋五杰”（UAE Five）之一，曾因呼吁民主化改革在 2011 年入獄。作為一個(gè)工程師背景的異見(jiàn)人士，曼蘇爾收到陌生人發(fā)來(lái)的短信后沒(méi)有點(diǎn)鏈接，而是轉(zhuǎn)給了“公民實(shí)驗(yàn)室”。

隨后“公民實(shí)驗(yàn)室”和合作伙伴 Lookout 一路挖掘到了“天馬”的起源。

阿聯(lián)酋人權(quán)活動(dòng)家艾哈邁德·曼蘇爾

和電影里經(jīng)常出現(xiàn)的黑客工具不同，“天馬”不是什么天才少年黑客的作品，而是來(lái)自以色列科技公司 NSO Group Technologies。這套系統(tǒng)此前曾被曝光，但當(dāng)時(shí)它所攻擊的對(duì)象只是黑莓以及部分 Android 手機(jī)，不包括 iPhone。

NSO 開(kāi)發(fā)出“天馬”后，以平均 25000 美元攻擊一個(gè)目標(biāo)的價(jià)格向政府機(jī)構(gòu)兜售。根據(jù)巴拿馬地方報(bào)紙 La Prensa 去年調(diào)查政府非法監(jiān)控丑聞時(shí)獲得的信息，NSO 以 800 萬(wàn)美元的價(jià)格打包出售了針對(duì) 300 臺(tái)設(shè)備的攻擊。

但 NSO 公司聲明稱(chēng)，曼蘇爾手機(jī)被監(jiān)控的情況公司并不知情。NSO 辯解說(shuō)，他們的產(chǎn)品銷(xiāo)售透明且合法，主要的目的適用于政府打擊恐怖主義犯罪，間諜軟件他們只賣(mài)給認(rèn)可的政府組織。但 NSO 也說(shuō)，至于軟件賣(mài)出了具體要干什么，NSO 只是要求和建議，但并不負(fù)責(zé)。

2013 年，NSO 聯(lián)合創(chuàng)始人 Omri Lavie 在接受《美國(guó)國(guó)防新聞周刊》的采訪時(shí)稱(chēng)，他們能完全不被察覺(jué)地進(jìn)入被監(jiān)視對(duì)象的生活，不留痕跡。如今看來(lái)，所言非虛。

最安全的系統(tǒng)也不可能保證絕對(duì)安全

這次被攻破的 iOS 實(shí)際上幾乎是普通消費(fèi)者能買(mǎi)到的最安全的智能手機(jī)。

蘋(píng)果除了互聯(lián)網(wǎng)產(chǎn)品上常見(jiàn)的兩步驗(yàn)證，還在旗下產(chǎn)品上啟用了 two-factor 雙重設(shè)備驗(yàn)證，引入硬件加密。

當(dāng)你在其它地方登陸 Apple 賬戶的時(shí)候，雙重設(shè)備驗(yàn)證會(huì)往你指定的硬件產(chǎn)品上發(fā)送驗(yàn)證碼才能繼續(xù)登陸。相比通過(guò)傳統(tǒng)的兩步驗(yàn)證，雙重設(shè)備驗(yàn)證更加安全。

蘋(píng)果雙重設(shè)備驗(yàn)證，比互聯(lián)網(wǎng)服務(wù)常用的兩步驗(yàn)證更加安全

庫(kù)克年初在用戶隱私問(wèn)題上公開(kāi)反抗美國(guó)政府之后，進(jìn)一步推進(jìn)了全線產(chǎn)品的加密。

但此次被暴露出的 iOS 漏洞比美國(guó)政府“公開(kāi)”希望獲得的后門(mén)還要嚴(yán)重得多。

這是數(shù)字安全的現(xiàn)實(shí)，即便是業(yè)內(nèi)最有錢(qián)的公司全力以赴，也不可能保證絕對(duì)安全。總是有人發(fā)現(xiàn)漏洞、公司再去補(bǔ)上。

這也是為什么美國(guó)主要科技公司在不留后門(mén)的事上為何如此步調(diào)一致——連想堵都堵不上，更別提刻意給人留一扇門(mén)了。

此次 iOS 的高危漏洞，如果曼蘇爾欠一點(diǎn)警覺(jué)，或者攻擊者準(zhǔn)備得再周密一些，可能還會(huì)繼續(xù)存在一段時(shí)間。

而用戶更多的 Android 平臺(tái)的漏洞就更多了，8 月份就有兩個(gè)非常大的：Android 使用的 Linux 3.6 內(nèi)核的一個(gè)漏洞可以讓黑客通過(guò)網(wǎng)頁(yè)訪問(wèn)嗅探用戶的賬號(hào)和密碼，80% 的 Android 設(shè)備中招；另一個(gè)漏洞是高通芯片帶來(lái)的，9 億使用高通芯片的 Android 設(shè)備面臨被黑客靜默植入高權(quán)限木馬的危險(xiǎn)，而且修復(fù)補(bǔ)丁何時(shí)實(shí)裝也遙遙無(wú)期。

不是名人你也不安全

關(guān)于數(shù)字安全一個(gè)常見(jiàn)的論調(diào)是，“我又不反動(dòng)，有什么好怕的”。

的確，“天馬”太貴了，不是重點(diǎn)目標(biāo)，大概不會(huì)有人花十幾萬(wàn)來(lái)獲取你手機(jī)上的信息。（如果你還擔(dān)心，可以用這個(gè)應(yīng)用查一下）

但沒(méi)人知道下一個(gè)系統(tǒng)漏洞會(huì)被什么人發(fā)現(xiàn)，下一個(gè)互聯(lián)網(wǎng)公司的服務(wù)器會(huì)被什么人攻破。

不是每個(gè)黑客都像 NSO 公司有能力把武器高價(jià)賣(mài)給政府。要是下一個(gè)高危漏洞被一個(gè)急著換錢(qián)的黑客找到，可能就會(huì)變成一個(gè)大批量攻擊的工具。

被人看短信、丟一個(gè)社交網(wǎng)絡(luò)的密碼或者郵箱密碼，聽(tīng)上去可能不是特別大的事。但通過(guò)這些信息，攻擊者有可能獲得你的身份證號(hào)碼、人際關(guān)系、出行計(jì)劃，并將它們賣(mài)給詐騙者。

極少有人會(huì)相信中獎(jiǎng)打 10 萬(wàn)過(guò)去的隨機(jī)詐騙短信。但當(dāng)騙子知道足夠多的信息，而你又恰好在壓力很大的時(shí)候，被騙的可能性就會(huì)大大增加。

比如“網(wǎng)購(gòu)訂單支付出現(xiàn)問(wèn)題”、“你乘坐的航班被取消，請(qǐng)聯(lián)絡(luò) xxx”的詐騙短信都屢屢成功。

這么做你的信息會(huì)安全一點(diǎn)

不要為省幾塊錢(qián)越獄。

收到提示后，及時(shí)升級(jí)操作系統(tǒng)。廠商的安全人員再努力也架不住你不升級(jí)系統(tǒng)。

不回復(fù)任何類(lèi)似驗(yàn)證碼的信息，有用戶被人利用驗(yàn)證碼的回復(fù)攻破了手機(jī)號(hào)碼，偷走了所有存款。

不要使用相同的密碼。近期 Dropbox 重置了一大批用戶的密碼，這些用戶是 2012 年以后就沒(méi)改過(guò)密碼的人群，Dropbox 認(rèn)為他們的賬號(hào)有被撞庫(kù)侵入的風(fēng)險(xiǎn)。

至少保住最關(guān)鍵的賬號(hào)。很少有人能記得幾十個(gè)復(fù)雜密碼，你可以給特別不重要的服務(wù)都用相同的簡(jiǎn)單密碼。但確保最關(guān)鍵的賬號(hào)，比如支付寶、微信、Gmail、蘋(píng)果賬號(hào)用上不同的密碼。

用 1Password 之類(lèi)不上傳到服務(wù)器的工具管理多密碼，或者使用一種黑客永遠(yuǎn)也沒(méi)法攻破的工具——拿筆寫(xiě)在本子上。

使用兩步驗(yàn)證或者授權(quán)驗(yàn)證登陸。盡管通過(guò)短信的兩步驗(yàn)證也有被攻破的風(fēng)險(xiǎn)，但有它遠(yuǎn)比沒(méi)有安全。使用蘋(píng)果設(shè)備的要開(kāi)啟 two-factor 雙重驗(yàn)證。 

付款盡可能使用跳轉(zhuǎn)到支付寶和微信的應(yīng)用支付、少填銀行卡號(hào)。今年一月，凱悅酒店集團(tuán)的系統(tǒng)被黑客攻破，數(shù)百萬(wàn)客戶的信用卡卡號(hào)和 CVV 碼泄露——足以制卡盜刷，不需要支付密碼。

海淘或?yàn)楹Ｍ饣ヂ?lián)網(wǎng)服務(wù)付費(fèi)的時(shí)候，盡量用 Paypal、Stripe、亞馬遜之類(lèi)的渠道支付，減少信用卡信息泄露的可能。

對(duì)于不常用的海外互聯(lián)網(wǎng)服務(wù)，可以考慮買(mǎi)充值卡消費(fèi)——同樣是為了減少信用卡信息泄露。

注冊(cè)互聯(lián)網(wǎng)服務(wù)的時(shí)候盡量用郵箱，而不是更方便的手機(jī)號(hào)登錄。當(dāng)手機(jī)號(hào)和其它個(gè)人信息一同泄露，有可能幫助詐騙者編出更好的故事。大多數(shù)公司的短信驗(yàn)證都調(diào)用第三方服務(wù)，即便你相信自己注冊(cè)的服務(wù)品牌，也沒(méi)理由相信提供短信驗(yàn)證的公司。

如果實(shí)在不想用郵箱注冊(cè)，微信也能提高安全性，它的登陸系統(tǒng)只授權(quán)名字和頭像，對(duì)方能獲得的信息比較少。

總之，填個(gè)人信息的時(shí)候不要那么實(shí)誠(chéng)。在非絕對(duì)必要的情況外，少填真實(shí)個(gè)人信息，信息越多越容易被社會(huì)工程學(xué)利用。

智能界（www.ukrainianorthodoxchurchinexile.com）中國(guó)智能科技聚合推薦平臺(tái)，秉承“引領(lǐng)未來(lái)智能生活”的理念，專(zhuān)注報(bào)道智能家居、可穿戴設(shè)備、智能醫(yī)療、機(jī)器人、3D打印、智能汽車(chē)等諸多科技前沿領(lǐng)域。聚合品牌宣傳、代理招商、產(chǎn)品評(píng)測(cè)、原創(chuàng)視頻、FM電臺(tái)與試用眾測(cè)，深入智能硬件行業(yè)，全平臺(tái)多維度為用戶及廠商提供服務(wù)，致力成為中國(guó)最具影響力的智能硬件聚合推薦平臺(tái)。