繼蘋果iOS後,全球最多人使用的兩大作業系統安卓與微軟也驚傳遭駭。Google資安團隊「Project Zero」29日公布研究報告,指出蘋果iOS已遭駭客入侵長達兩年,美國商業雜誌《富比世》隨後揭露,安卓及微軟系統也遭駭客以相同手法監控用戶動態,影響範圍恐遍及全球。且多家媒體還披露,這些惡意軟體的背後主使極可能是中共政府,除了用來監控新疆維吾爾人外,也在搜集世界各國可能會對維族人伸出援手的用戶。
蘋果iOS遭駭長達兩年 通訊軟體加密也沒用
科技媒體《TechCrunch》報導,谷歌(Google)資安團隊早在今年2月就發現IOS系統遭駭客攻擊,蘋果(Apple)接獲報告後隨即改善資安漏洞並釋出更新版本。「Project Zero」表示,威脅分析小組(Threat Analysis Group,TAG)年初發現幾個網站遭駭。
這些網站以零時差攻擊(0-day)方式,只要蘋果用戶點開特定網址,利用iPhone資安漏洞,駭客就能神不知鬼不覺的駭入用戶手機、甚至奪走載具控制權。TAG在iOS10到iOS12等版本中。一共發現5個獨立攻擊鏈,顯示這個駭客團隊已連續竊取蘋果用戶資料長達2年。
該報告指出,這場資安攻擊是種「水坑」攻擊(Watering Hole),亦即用戶只要進入遭駭網站,就可能遭植入監控程式。Google尚未公布哪些網站遭駭,僅透露這些網址每週約有數千名瀏覽人次。「Project Zero」成員比爾(Ian Beer)表示,這些駭客採取無差別攻擊,代表任何蘋果用戶都可能遭駭,並指他們幾乎確定還有其他駭客行為還沒被發現。
《富比士》指出,駭客連具加密技術的Whatsapp、iMessage及Telegram等通訊軟體都能輕鬆駭入,並取得大量資料,甚至能透過監控程式取得用戶即時位置。
兩大作業系統也遭駭 中國再現《一九八四》監控維族人
Google資安報告出爐後,《TechCrunch》報導這場資安入侵可能是由中共政府策劃,攻擊目標正是新疆維吾爾人。隨後《富比士》資安記者布魯斯特(Thomas Brewster)證實這項消息,還揭露安卓(Android)及微軟(Microsoft)系統也遭同樣手法入侵。
北京當局近年來大規模起訴異議份子,以無所不在的監視器和「天網」監控維吾爾人,更以「再教育營」關押逾百萬穆斯林,布魯斯特指出,這系列的資安攻擊也是中國政府新疆維穩計畫的一部分。由於資安受災戶還包括安卓和微軟,布魯斯特認為此次災情遠比「Project Zero」想像得嚴重,且這場駭客攻擊背後可能還有更大規模的計畫。
電子前哨基金會(Electronic Frontier Foundation,EFF)資深技術專家昆汀(Cooper Quintin)則認為,這些攻擊目標不僅是新疆的維族人,還包括流亡海外的維族難民,甚至是任何同情維族人遭遇、想替他們爭取獨立的人。昆汀指出中國政府的目標就是挖掘任何聲援、同情維族人的情報,這場行動的風險雖然高,但報酬也高。 (相關報導: 新疆「文化屠殺」現在進行式: 逾400位維吾爾知識分子被捕、維族教科書被查禁 | 更多文章 )
英國《衛報》(The Guardian)則指出,早在《TechCrunch》報導前,就有許多研究者猜測這次資安攻擊是由國家力量主導。由於蘋果漏洞懸賞計畫(Bug Bounty)獎金是一百萬美金(約新台幣3139萬元)起跳,能讓駭客無視獎金誘惑的金額,可能只有國家出得起。
