此為歷史版本和 IPFS 入口查閱區,回到作品頁
iyouport
IPFS 指紋 這是什麼

作品指紋

如何保护自己免受蔓延全世界的最强大的以色列间谍软件 Pegasus 的攻击

iyouport
·
·
安全性虚无主义是最可怕的事,其危险程度超过攻击本身。

人们曾经认为只有极高级别的敏感人士才会遭遇到最昂贵和最可怕的间谍软件,而这一假设在今年夏天被一场惊人的数据泄露所推翻;调查显示,以色列最恐怖的监视技术公司 NSO 的 Pegasus 间谍工具通过利用苹果软件的弱点,包括 iMessage 的无交互零日漏洞,渗透到全世界的记者、律师、人权捍卫者、活动家、和企业高管的 iPhone 手机中

这是今年6月最火爆的消息之一,虽然,它并不是新闻  — — 我们的原网站有 “以色列和NSO” 专栏,您可以在 列表-4 中看到单独的板块汇总这部分内容。但很少有人会思考该如何应对这种可怕的攻击,这是本文希望尝试解释的问题。

虽然NSO一直在狡辩,声称该间谍软件 “只用于打击罪犯”,但6月泄露的潜在目标清单显示,记者、活动家和政客都是被NSO的客户瞄准的对象。

大赦国际描述说,这些详细的攻击从2014年一直持续到2021年7月。一些攻击被认为是 “零点击/无交互” ,即 受害人不需要以任何特定的方式进行互动就能被成功攻击。

该间谍软件还使用了多个零日漏洞,包括运行 iOS 14.6 系统的 iPhone 12。

📌 全世界的政府都在囤积零日漏洞,它可能是本世纪最强大的政治武器。这件事非常重要。如果您错过了《这就是他们给我讲述世界末日的方式》。

事实上,大赦国际报告中列出的攻击早在2018年5月就开始了 —— 也就是IYP开始报告这一系列灾难的最初时间。

https://twitter.com/iyouport_news/status/1260786930687504384

📌 如果您错过了2018年的报告:《以色列间谍软件公司出售监视技术和知识在130个国家针对记者、异议和LGBT人群》,以及《以色列 NSO 生产的间谍软件 Pegasus 在45个国家被用于监视和攻击异议人士及活动家 — 亚洲有香港》。

正如约翰霍普金斯大学的密码学家马修格林所担心的,这一披露有可能让黑客专家们陷入 “安全性虚无主义” 的境地

安全性虚无主义认为,数字攻击已经变得如此复杂,以至于没有什么可以防止它们发生的,也无法削弱其影响。这种结论将是一个错误。

📌 我们在解释 IYP 为什么采取开源情报的时候提到过中国社会的安全性虚无主义,并且这一现象至今都明显存在着,见《这不是一场竞技表演》。

任何时候,知道永远比不知道要强,我们需要冷静下来仔细思考可能的对策。虽然说实话,除非跨国联合的革命推翻这一弥漫全球的政治武器,否则,单纯的技术弥补并无法成为长期出路

https://www.patreon.com/posts/quan-shi-jie-zui-38139678

首先,虚无主义正中了恶意黑客的下怀,他们最希望看到的就是目标不再试图保护自己。并且,这在事实上也是错误的。您依旧有可能抵御NSO的间谍软件 — — 例如,通过遵循操作安全规则,比如最简单的不点击未知链接,实行设备分区(如为不同的应用程序使用不同的设备),以及在移动设备上安装加密VPN等等。这些技术对任何数量的数字攻击都是有效的。

  • 如果您是敏感人士,请在我们的 列表-5 “护盾” 中看到详细的安全措施内容汇总;
  • 如果您是普通数字设备用户,列表-1 中的 “技术防身” 板块中的内容应该适合您;
  • 如果您正在想要摆脱威胁,您可以尝试《变得难以被追踪》 系列;
  • 如果您已经成为目的,正在准备逃离控制,《完美隐身》系列应该为您所熟悉;
  • 如果您是不甘心忍耐的行动者,《整体安全》系列教程是您和您的亲密团队成员最科学的安全培训。

正如安全领域的一句经典格言所说,并没有百分百完美的安全性,但这并不是消极怠工的借口。那么,以下是一些您可以采取的实际步骤,以减少您的 “攻击面”,保护自己免受像NSO这样的间谍软件的侵害。

此外,最近,公民实验室也做了一份调查报告,有技术分析,您可以参考《From Pearl to Pegasus》。

https://iyouport.substack.com/p/e3b?utm_source=substack&utm_campaign=post_embed&utm_medium=web
德国警方秘密购买了 NSO Pegasus 间谍软件 消息来源证实媒体报道称,联邦刑事警察不顾律师的反对,购买并使用了备受争议的以色列监控间谍软件 —— 德国联邦刑事警察局 (BKA) 于 2019 年从以色列公司 NSO 购买了臭名昭著的 Pegasus 间谍软件。议会消息人士称,联邦政府在闭门会议上将此次购买通知了联邦议院内政委员会。这证实了早先在德国《时代周报》上发表的报道。据 Die Zeit 称,该软件是在“极度保密”的情况下采购的,尽管律师们犹豫不决,因为该监控工具的功能远远超出了德国隐私法所允许的范围。
巴林政府使用 NSO 恶意软件来攻击活动家和持不同政见者

我们首先来看看它的攻击方式。

1、网络注入

第一类攻击是网络注入,即 用户被神秘地从一个合法网站重定向到另一个。Safari浏览器的浏览历史日志显示了被访问了的可疑URL,这是打开网页后几乎不到一秒钟内就发生的被重定向的证据。

Favicon 数据库也显示了类似重定向的证据,尽管不一定是通过主动浏览。在一个案例中,尽管没有打开单独的浏览器,但在预览一个记者的 Twitter 时间线中分享的链接时,使用的Safari浏览器服务促使网页加载并重定向到可疑的URL。

2、Bridgehead

进程执行的记录显示,名为 “bh” 的进程也与 Pegasus 安装域有关,通常在成功的网络注入尝试后出现。

据认为,“bh” 与 iOS JavaScriptCore 二进制中的一个2016年的漏洞有关,该漏洞使代码得以执行,并在重新启动后在设备上保持持久性。bh 被认为代表 “BridgeHead”,是该组件的内部名称。

在 “bh” 之后,该恶意软件还使用了其他进程,包括 “roleaboutd” 和 “msgacntd”,它们被认为是在成功利用和特权升级后使用的后期进程。还发现了其他类似的进程,包括 “pcsd” 和 “fmId”,它们可能有相同的目的。

3、照片

有证据显示,在使用 “bh” 进程之前,苹果公司的一个名为 “mobileslideshow” 的照片应用程序进程可能已被用于攻击中。

人们怀疑 Photos 应用程序或 Photostream 服务被用作部署 Pegasus 间谍软件的漏洞利用链的一部分。

在每一个使用 Photos 的案例中,似乎 Photostream 使用的是同一个iCloud账户地址。一些无交互攻击显然需要特定的iCloud账户才能发挥作用。

4、iMessage 中的无交互0-day问题

从2019年开始,iMessage 和 FaceTime 中的许多漏洞被发现和修补,但是,似乎有些问题仍然可以被滥用。

在一次攻击中,人们发现可疑的 iMessage 账户查询后执行了 Pegasus 间谍软件进程。多个匈牙利记者显然是同一操作者的目标,每次攻击都使用了类似的地址和进程。

通过 iMessage 的攻击显然在2021年又回来了,这次涉及到一个可疑的 iMessage 账户的查询,然后是一个 coretelephony 进程执行的HTTP请求。这似乎是为一个名为 “gatekeeperd” 的进程请求一个有效载荷。

2021年5月的一次攻击显示,对一个神秘的iCloud账户进行了类似的查询,推送通知显然被用作在执行前将有效载荷应用到目标iPhone上的一种方式。

5、苹果音乐

还有证据表明,Pegasus 间谍软件可能在2020年7月通过苹果音乐应用程序交付。在那次感染中,苹果音乐的网络流量被记录下来,音乐应用程序的HTTP请求再次指向用于分发 Pegasus 的域。

大赦国际无法确定苹果音乐本身是否被用于最初的感染,或者它是否被用于沙盒逃逸或特权升级。

6、工具和援助

调查结束后,大赦国际通过 GitHub 发布了 Pegasus 指标,以协助其他安全研究人员发现其他 Pegasus 感染。这些指标包括 Pegasus 基础设施中的域名、从 iMessage 账户查询中恢复的电子邮件地址,以及与该软件相关的进程名称。

一个名为 “移动验证工具包” 的工具也正在发布。作为一个模块化的工具,它旨在简化获取和分析来自安卓设备的数据的过程,以及分析来自iOS备份和系统转储的记录,以找到任何进一步的潜在痕迹。

Pegasus 提供 “对目标移动设备的无限制访问”

最近披露的信息涉及NSO的一个特定的间谍软件产品,即 Pegasus。在这之前,公民实验室国际特赦组织Article 19R3D 和 SocialTIC 等机构都对该公司的监控工具进行了广泛研究。以下是一些具体了解。

该间谍软件的功能在似乎是NSO集团2014年或更早的宣传手册中就有所概述,并在 WikiLeaks 公布与另一家间谍软件公司 — — 意大利 Hacking Team — — 有关的电子邮件库时提供。该文件积极地推销 Pegasus,说它提供 “对目标移动设备的无限访问”,并允许客户 “远程和隐蔽地收集有关你的目标的关系、位置、电话、计划和活动的一切信息 — — 无论何时何地”。

【注:我们有 “以色列和NSO” 专栏,在列表-4 中找到;同一位置也有 “Hacking Team” 专栏。此外在这里看到对那场惊人的数据泄露的开源情报分析《深挖 Hacking Team内幕》】

该手册还指出,Pegasus 可以:

  • 实时监控语音和VoIP电话;
  • 从手机中吸取联系人、密码、文件、和加密的内容;
  • 作为一个 “环境窃听器” 操作,通过麦克风进行监听;
  • 通过 WhatsApp、Facebook、Skype、Blackberry Messenger 和 Viber 等应用程序监控通信;
  • 通过GPS追踪手机的位置 ……

然而,尽管大肆宣传,Pegasus 依旧只是一种被称为远程访问木马或RAT的旧式恶意软件的美化版本:一种允许未授权方完全访问目标设备的程序。换句话说,虽然 Pegasus 可能是强大的,但理论上安全界应该很清楚如何防御这种类型的威胁。

让我们来看看 Pegasus 可能感染手机的不同方式 —— 用该手册上的说法,它的各种 “代理安装载体” —— 以及如何抵御每一种。

1、躲避社交工程的诱饵

社交工程手段始终都是安全威胁的要点,是攻击者第一步需要使用的突破口。社交工程学也是审讯心理学的主体,以帮助被捕和被喝茶的人防止被警察套话。在安全角度上它很重要,这就是为什么IYP有 “社交工程” 专栏,从各种角度分析您有可能如何中招。您可以在列表-3 列表-5 中看到单独板块的内容汇总。

在关于 Pegasus 攻击的报告中,有许多记者和人权维护者收到了短信和 WhatsApp 诱饵信息,引诱他们点击恶意链接。这些链接会下载间谍软件,通过浏览器和操作系统的安全漏洞进入设备。还记得华盛顿邮报专栏作家 Jamal Khashoggi 是如何被分尸的吗 — — 是的,只因为他的亲密队友在网店订购了一罐蛋白粉。在这里看到这个故事《当恶意软件伪装网购物流》。

在泄露的间谍软件手册中,这种攻击媒介被称为 “增强型社交工程师信息”(ESEM)。它指出,“目标将点击链接的机会完全取决于内容的可信度水平。Pegasus 解决方案提供了广泛的工具来编写一个*量身定制*的看起来完全无害的信息,以引诱目标点击”。

正如保护记者委员会所详述的 Pegasus 有关的ESEM诱饵信息分为不同的类别。有些声称是来自银行、大使馆、新闻机构、或包裹递送服务等既定组织。其他的则与个人事务有关,如工作或所谓的伴侣出轨证据,或声称目标人物正面临一些直接的安全风险。

未来的ESEM攻击可能会使用不同类型的诱饵信息,这就是为什么你必须谨慎对待任何试图说服你执行数字动作的信息和信件!

📌 下面是一些例子,说明这在实践中意味着什么:

A、如果你收到带有链接的信息,特别是如果它包含一种紧迫感(说明一个包裹即将到达、或你的信用卡将被扣款),你*必须避免*自己立即点击它的冲动。

B、如果你信任所链接的网站,请*手动输入*链接的网址,而不是直接点击。

C、如果要去一个你经常访问的网站,将该网站应该被保存在一个本地的书签文件夹中,并且,你应该只从你自己的文件夹中的链接访问该网站。

D、如果你决定要点击一个链接,而不是在浏览器中键入它或通过书签访问该网站,至少要仔细检查该链接,以确认它是指向一个你熟悉的网站。请记住,你仍有可能上当受骗:一些钓鱼网站的链接使用非英语字符集中看起来相似的字母,这就是所谓的同形异义字。例如,西里尔字母 “О” 可能被用来模仿在英语中通常看到的拉丁字母 “O”。

E、如果该链接看起来是一个缩短的URL,请使用URL扩展器服务,如 URL Expander 或 ExpandURL,在点击前显示其指向的实际长链接是什么。

F、在你点击一个显然是由你认识的人发送给你的链接之前,请确认这个人确实是你认识的那个人、此人确实给您发送了这个链接;因为你的朋友的账户可能被黑了,或者他们的电话号码被伪造了。要使用与你收到该信息时不同的通信渠道向你的朋友确认这件事。例如,如果链接是通过短信或电子邮件发送的,那就给发件人打个电话。这就是所谓的 *带外认证/频外认证或鉴定*。

G、实行设备隔离,使用一个 *没有任何敏感信息的辅助设备* 来打开不受信任的链接。请记住,如果辅助设备被感染,它仍然可能被用来通过麦克风或摄像头监控你!所以在不使用时将其放在法拉第袋中 — — 或者至少远离你进行敏感对话的地方(放在法拉第袋中肯定是个好主意)。

H、使用 *非默认的浏览器*。根据泄露的 Pegasus 手册中题为 “安装失败” 的部分,如果目标人运行的是不支持该间谍软件的浏览器,特别是 “设备的默认浏览器” 以外的浏览器,安装可能失败。但是,请注意!这份文件已经是几年前的了,而且今天的 Pegasus 可能已经可以支持所有种类的浏览器。

I、如果对某个链接有任何怀疑,最安全的措施是避免打开该链接。

2、挫败网络注入攻击

在多个案例中,Pegasus 感染设备的另一种方式是通过拦截手机的网络流量,即 所谓的中间人攻击或MITM,其中 Pegasus 拦截未加密的网络流量,如HTTP网络请求,并将其重定向到恶意的有效载荷。

要做到这一点,间谍软件需要欺骗手机连接到一个假装是附近手机塔的流氓便携设备 — — 就如黄貂鱼;或者,直接获得对目标手机运营商的访问权(如果目标是在政府提供电信服务的压迫性政权中,这是绝对可行的)。即使手机处于仅有移动数据的模式,并且没有连接到Wi-Fi,这种攻击也能发挥作用。

【注:事实上这种攻击方法在全世界普遍被使用,尤其是在群体事件中被用来抓捕抗议者。甚至被绑在飞机上,一次性扫荡成百上千的人。如果您错过了《如何应付政府使用黄貂鱼对公民进行的大规模间谍行为》。不要忘了,IBM和谷歌早已帮助中国构建了一种更可怕的同类监视工具。】

当非政府组织 Freedom Now 和摩洛哥调查性新闻协会的联合创始人 Maati Monjib 打开 iPhone Safari 浏览器并输入 yahoo.fr 时,Safari 首先尝试转到 http://yahoo.fr。通常情况下,这将重定向到 https://fr.yahoo.com,一个加密的连接。但是,由于 Monjib 的连接被拦截了,它反而重定向到了一个恶意的第三方网站,并最终入侵了他的手机。

如果您在浏览器地址栏中只输入网站域名(如 yahoo.fr)而没有指定协议(如 https://),这就为MITM攻击提供了可能,因为您的浏览器默认会尝试以未加密的HTTP连接到该网站!通常情况下,您到达真正的网站时,它立即将您重定向到一个安全的HTTPS连接;但是,如果有人跟踪并黑进您的设备,第一个HTTP连接就足以成为劫持您的连接的入口。

一些网站使用一种被称为HTTP严格传输安全性的复杂安全功能来防止这种情况,这可以防止您的浏览器向他们发出未加密的请求,但是,年不能总是指望这一点,即使对于一些能够正确实施它的网站而言也是如此。

📌 这里有一些您可以做的事,以防止这些类型的攻击:

A、在进入网站时,一定要键入 https://

B、将你喜欢的网站的安全(HTTPS)网址加入本地书签,并使用这些网址来访问网站,而不是直接输入域名。

C、另外,在您的桌面和移动设备上都使用加密的VPN。VPN将所有连接安全地传输到VPN服务器,然后代表你访问网站并将其转发给你。这意味着监视你的网络的攻击者很可能无法成功地进行MITM攻击,因为你的连接是加密到VPN 的  — — 即使你在浏览器中直接输入了域名而没有带 “https://” 部分。

但是,如果你使用VPN,请始终记住,你的VPN供应商有能力监视你的互联网流量,所以,挑选一个值得信赖的供应商非常重要 — — 在这里看到《某个VPN可能不可靠的5个标志:如果您不理解技术的话》。

此外,Wirecutter 根据VPN供应商的第三方安全审计历史、他们的隐私和使用条款政策、所使用的VPN技术的安全性以及其他因素,发布了定期更新的、全面的VPN供应商比较。您可以参考。

3、零点击漏洞

与需要目标执行某些行动(如点击链接或打开附件)的感染企图不同,零点击漏洞之所以被称为零点击,是因为它们不需要目标的任何互动。所需要的只是目标人安装了一个特定的脆弱的应用程序或操作系统。如前文所示,大赦国际对最近披露的 Pegasus 证据的取证报告指出,一些感染是通过利用苹果音乐和 iMessage 应用程序的零点击攻击传播的。

这不是NSO集团的工具第一次与零点击攻击有关。2017年针对巴拿马前总统里卡多·马蒂内利的投诉就指出,记者、政治人物、工会活动家和公民协会领导人都已经成为 Pegasus 间谍软件的目标,而在2019年,WhatsApp 和 Facebook 提出投诉,称NSO集团开发的恶意软件能够利用 WhatsApp 的零点击漏洞。

由于零点击漏洞 / 即 无交互漏洞,顾名思义就是不需要任何用户互动,它们是最难防御的。但是,用户可以通过减少所谓的 “攻击面” 和实行设备隔离,来减少被这些漏洞击中的机会。

减少您的攻击面仅仅意味着最大限度地减少您的设备可能被感染的方式。设备隔离意味着将您的数据和应用程序分散到多个设备上 — — 中国用户应该很容易理解这点,我们曾经多次听闻中国用户将微信、微博、支付宝等中国流行应用隔离到一台单独的设备上,这是非常好的。

📌 具体来说,用户可以这样做:

A、减少你手机上的应用程序的数量。你家里未上锁的门越少,窃贼进入的机会就越少;同样,较少的应用程序意味着你手机上可供对手利用的虚拟门越少。你的设备应该有你执行日常功能所需的最基本的应用程序。有一些应用程序你不能删除,比如 iMessage;在这些情况下,你通常可以禁用它们,尽管这样做也会使文字信息在你的 iPhone 上不再起作用。

B、定期检查你安装的应用程序(和它们的权限),并删除任何你不再需要的应用程序。删除一个很少使用的应用程序,并在你真正需要它时再次下载它,比让它留在你的手机上更安全。不要忘了《少即是多

如果您错过了《您真的理解应用权限都授予了什么吗?这里是保护您安全的重要知识 》

C、及时更新手机操作系统和个别应用程序,因为更新可以弥补漏洞,有时甚至是无意的漏洞

D、将你剩余的应用程序分门别类。如果一部手机只安装了 WhatsApp 并被入侵,黑客会得到 WhatsApp 的数据,但不会得到其他敏感信息,如电子邮件、日历、照片或 Signal 加密信息。

E、请记得,即使是被隔离的手机,仍然可以被用作窃听和跟踪设备,所以,要保持设备的物理隔离 — — 也就是说,把它们放在另一个单独的房间里,最好是放在法拉第袋里。如果您曾经参加过具有保密级别的会议或进入安全设施内,您就会知道这点,手机是不能带入房间的。

4、物理访问

攻击者感染手机的最后一种方式是通过与目标手机进行物理交互 —— 恶意女仆。根据该手册,“当物理访问设备是一种选择时,Pegasus 特工可以在五分钟内手动注入和安装” — — 尽管不清楚手机是否需要解锁,或者攻击者是否能够感染甚至是受密码保护的手机。

目前似乎还没有已知的物理发起 Pegasus 攻击的案例,尽管这样的漏洞可能很难被发现,很难与在线攻击区分开。

📌 以下是你可以如何减轻它们的影响的一些方法:

A、始终保持让你的设备在你的视线之内。任何时候,只要你的设备离开你的视线,就有可能发生物理上的破坏。在 “社交工程” 系列和 “黑客主义行动力” 系列中我们已经很多次强调过这个问题 — — 不论是去洗澡还是如厕,只要房间里还有另一个人,或者,有任何人可能进入这个房间,就最好随身携带你的所有电子设备。

显然,海关人员在机场可以拿走你的手机,这和你去洗手间时把笔记本电脑留在卧室里是有区别的,但都涉及一些同样的风险,你将不得不校准自己的风险承受能力。

B、当你的设备不得不无人看管时,把它放在法拉第袋里,特别是在酒店房间等风险较大的地方。这并不能防止设备被操纵,但至少可以随时提醒你,设备已经从袋子里被拿出来了,可能被人动过了,这时就不应该再使用该设备。

C、在进入潜在的敌对环境,如政府大楼,包括大使馆和领事馆,或通过边境检查站时,请使用一次性电话和其他隔层设备。

📌 一般来说:

A、如果你怀疑自己的手机感染了 Pegasus,请使用大赦国际的移动验证工具包

B、定期备份重要文件。

C、定期重置你的手机也没有坏处。

尽管 Pegasus 是一个极度危险和复杂的间谍软件,但请相信你可以采取一些具体的步骤来尽量减少自己的设备被感染的机会。没有万无一失的方法可以完全消除风险,但你肯定可以做一些事来降低这种风险,安全虚无主义是要不得的。

关于大赦国际发布的移动验证工具包

大赦国际发布了一个工具,可以帮助您检测自己的手机是否受到影响。

该工具包旁边是一组很棒的说明,应该可以帮助您完成一些技术检查过程。使用该工具涉及将手机备份到单独的计算机,并对该备份运行检查。下面做一些介绍。

首先要注意的是,该工具是基于命令行或终端的,所以它将需要一定的技术能力或一点耐心来运行。但真的不难!请放心,按照说明做就行了。下文将试图涵盖很多你需要知道的东西。

第二个说明是,大赦国际正在运行的分析似乎对iOS设备效果最好。大赦国际在其文件中说,其工具可以在安卓手机备份上运行的分析是有限的,但该工具仍然可以检查潜在的恶意短信和APK。同样,建议遵循其说明

要检查您的 iPhone,最简单的方法是在Mac或PC上使用 iTunes 或 Finder 做一个加密的备份。然后您需要找到该备份的位置,苹果公司提供了相关的说明。Linux 用户可以按照大赦国际的说明,使用 libimobiledevice 命令行工具来创建备份。

获得手机备份后,需要下载和安装大赦国际的mvt程序,大赦国际也提供了相关说明

如果您使用Mac来运行检查,首先需要安装 Xcode(可以从App Store下载)和 Python3,然后才能安装和运行mvt。 获得 Python3 的最简单方法是使用一个叫做 Homebrew 的程序,它可以从终端安装和运行。安装完这些后,您就可以运行大赦国际的iOS指示了

如果您在试图解密您的备份时遇到问题,没关系。当我试图把它指向我的备份时,该工具也报错了,我的备份在默认文件夹中。为了解决这个问题,我把备份文件夹从默认位置复制到桌面上的一个文件夹里,并把mvt指向它。命令最后看起来像这样:

mvt-ios decrypt-backup -p PASSWORD -d decrypt ~/Desktop/bkp/orig

【注:请注意,这仅用于说明目的。请使用大赦国际给出的命令,因为程序可能已更新

当运行实际扫描时,您要指向一个 “Compromise” 文件,大赦国际以一个名为 pegasus.stix2 的文件形式提供。那些刚开始使用终端的人可能会被如何实际指向一个文件所困扰,但只要您知道文件的位置,这是相对简单的。对于初学者来说,建议将 stix2 文件下载到您的Mac的下载文件夹。然后,当您到了实际运行检查-回溯命令的步骤时,添加:

-i ~/Downloads/pegasus.stix2

进入选项部分。作为参考,这里的命令最后看起来像下面这样。(同样,这只是为了说明问题。如果您只是复制这些命令并运行它们将导致错误):

mvt-ios check-backup -o logs — iocs ~/Downloads/pegasus.stix2 ~/Desktop/bkp/decrypt

(作为参考,~/ 或多或少地充当了您的用户文件夹的快捷方式,所以您不必在 /Users/mitchell 这样的地方添加什么)

再一次,建议您按照大赦国际的指示,使用其命令,因为该工具总是有可能被更新。安全研究员 @RayRedacted 在Twitter上也发布了一个很好的 thread,讲述了您在运行该工具时可能遇到的一些问题以及如何处理它们。

最后,大赦国际只提供了在 MacOS 和 Linux 系统上安装该检测工具包的说明。对于那些希望在Windows上运行它的人来说,The Verge 已经证实该工具可以通过安装和使用 Windows Subsystem for Linux(WSL)并遵循大赦国际的 Linux 说明来使用。使用WSL将需要下载和安装一个Linux发行版,如 Ubuntu,这将需要一些时间。不过,它可以在您等待手机备份的时候完成。

运行mvt后,您会看到一个警告列表,其中列出了可疑的文件或行为。值得注意的是,警告并不一定意味着您已经被感染了。对我来说,一些完全正常的重定向出现在它检查我的 Safari 历史的部分(sheet.google.com 重定向到了 docs.google.com,reut.rs 重定向到 reuters.com,等等)。同样,也会得到一些报错,但只是因为该程序正在检查我的手机上没有安装的应用程序。



围绕 Pegasus 的故事可能会让许多人对手机这种担心比平时多了几分怀疑,不管您是否有可能成为一个民族国家的目标。

正如您已经看到的,政府有可能并不需要入侵您的手机的麦克风和摄像头,就可以获取您的私人信息 — — 即使您的手机没有感染 Pegasus,无孔不入的数据中介行业也极有可能已经在出售您的位置历史记录了。这里有一个具体说明,您真的有必要仔细阅读《单向镜的背后:监视资本家和政府的联手一直在如何折腾你?。⚪️

HOW TO DEFEND YOURSELF AGAINST THE POWERFUL NEW NSO SPYWARE ATTACKS DISCOVERED AROUND THE WORLD

Here’s how to check your phone for Pegasus spyware using Amnesty’s toolHere’s how to check your phone for Pegasus spyware using Amnesty’s tool



CC BY-NC-ND 2.0 授權