安全厂商卡巴斯基本周揭露有人以一个全新、不知名的恶意程式攻击iPhone用户,并企图搜集用户行为信息,受害者包含卡巴斯基员工。
该公司是在检查公司内部无线网络时,发现员工iPhone有异常活动,随后利用国际特赦组织开发的Mobile Verification Toolkit(MVT)发现特定入侵指标。 该公司并将这起攻击行动命名为Operation Triangulation。
卡巴斯基执行长Eugene Kaspersky指出,调查分析才刚开始,尚无法得知这桩攻击的完整面貌。 目前仅知,攻击行动是攻击者传送有恶意附件的iMessage给受害者,再利用多个已知iOS漏洞安装恶意软件。 攻击过程无需用户任何动作,只要点击信息即可安装恶意程序,并启动后续下载最终植入间谍软件。 该公司说,其中一个漏洞是苹果去年12月就修补的CVE-2022-46690,是一个中度风险越界写入(out-of-bounds write)漏洞。
一旦用户iPhone被植入间谍软件,就会开始搜集iPhone中的麦克风录音、iMessage的相片、定位及其他多种活动的资料,再送到外部服务器上。 卡巴斯基目前还在研究这间谍软件,可以确定的是Operation Triangulation和之前已知的iOS间谍软件,包括Pegasus、Predator或Reign都不同。
虽然受限于iOS设计,这个恶意程序无法长期在iPhone内长期渗透,但是卡巴斯基分析多个受害手机显示,可能手机重开机会再度感染恶意程序。 他们追查到最早感染时间为2019年,但到2023年6月,攻击仍在进行中。 最新近被感染的iOS版本为15.7版。
卡巴斯基也有数十名员工遭到感染,但该公司表示由于及早采取行动,公司作业流程和用户资料都未受影响,也解决了威胁。 执行长Kaspersky说,他们相信自己并非主要攻击目标。
遭到感染的用户不易察觉,不过仍有迹可循。 最明显的感染指标是 iPhone 的「资料使用」项显示有 BackupAgent 的行程。 少部分受害iPhone会无法安装iOS更新。
虽然这桩攻击行动尚有许多疑点待研究,但只要关闭iMessage就能防止Triangulation行动的攻击。
