飛馬間諜軟體讓駭客監控你的手機!不點連結就能自動感染

2021/09/16

近期國際上華盛頓郵報(Washington Post)、衛報( Guardian )、世界報(Le Monde)等全球數十家媒體共同發表新聞,關於以色列的飛馬Pegasus間諜軟體,監控上百名記者、數十名企業高管和多達近千位的政治人物,其中不乏是國家元首,造成各國人人自危,深怕自己就是被監控的名單中。

以色列的飛馬


由於新聞的聳動,且資安就是國安,讓我們不得不正面分析這個間諜軟體。
飛馬間諜軟體Pegasus Spyware源自於以色列,是一個鑽研手機製造商還不知道的作業系統漏洞,達到侵入手機的目地。飛馬間諜軟體Pegasus Spyware感染的方式已經不同以往的其他間諜軟體,它無須透過誘騙手機持有人點選惡意連結,就能植入後門程式。
飛馬間諜軟體Pegasus Spyware可透過WhatsApp打電話給目標手機,就算手機持有人不接,飛馬軟體也能安裝到目標手機上。飛馬間諜軟體Pegasus Spyware還可透過在目標手機附近的無線收發器即可安裝成功。
飛馬間諜軟體Pegasus Spyware可以用如此自動感染的方式,快速的蠶食目標手機,達到監控手機的目的,政府機關和企業不得不快速正視這個安全問題,如果不加速預防和反制,很快就會淪為飛馬間諜軟體Pegasus Spyware的禁臠。

延伸連結:新型Android安卓駭客破解工具Mhook出現!當心手機被駭客攻擊!

飛馬間諜軟體Pegasus Spyware監控原理
當飛馬間諜軟體Pegasus Spyware被植入目標手機,透過記憶體偵錯監測,將目標手機上的訊息回傳給攻擊者,達到監控的目的。
(下圖為: 飛馬間諜軟體Pegasus Spyware攻擊和監控內容清單)

飛馬間諜軟體Pegasus Spyware攻擊和監控內容清單


換而言之,如果目標手機內的Mobile App沒能做到防止記憶體偵錯( anti-debugger),每當目標手機使用者按下Mobile App的icon開始執行後,Mobile App的程式碼就會開始在手機的記憶體上開始運轉,提供使用者相關的功能和資訊交換。而目標手機內的 Mobile App在記憶體上,赤裸裸開始奔跑的同時,也就提供飛馬間諜軟體Pegasus Spyware監控竊取的絕佳環境。

國內的金融App能否承受得住飛馬間諜軟體Pegasus Spyware
這不是一個假議題,而是一個真實存在問題。
根據果核數位的資安團隊,針對國內前20大金融單位,現行Google Play架上金融App(網路銀行)做實際白帽Debugger測試統計,高達6成的金融單位,防止記憶體偵測功能是失效或是可被記憶體偵錯工具在記憶體上監控到動態事件。這樣的安全等級,面對有如新冠肺炎洪水猛獸般感染力的飛馬間諜軟體Pegasus Spyware,絕對是不堪一擊。
透過簡單的幾個測試,就可以驗證這樣的統計所言不假。
1.簡單的駭客工具(記憶體偵錯)自我檢測
由於飛馬間諜軟體Pegasus Spyware和記憶體偵錯工具的技術原理相同,只要駭客使用的記憶體偵錯工具不能使用,基本上該APP應該具有一定的能力阻擋飛馬間諜軟體Pegasus Spyware的監控攻擊。
(下圖為駭客工具失效的結果)

駭客工具失效的結果


駭客工具失效的結果2

2.那些駭客工具(記憶體偵錯)可以進行協助檢測
使用Frida或是IDA pro,將受檢測的App在手機執行後,透過駭客工具可清楚錄下記憶體上的動態行為,就可以證明受檢測的金融App是沒有防記憶體偵錯的功能,也就足以證明是無法抵擋飛馬間諜軟體Pegasus Spyware的監控攻擊。
(下圖為駭客工具可執行監測的結果)

駭客工具可執行監測的結果


(下圖為駭客工具監測金融App動態行為結果)

駭客工具監測金融App動態行為結果

延伸連結:

甚麼是ApkCrack?3步驟了解駭客工具並完美預防駭客攻擊!

預防駭客行動詐騙!看懂App網路資訊安全「原始碼加密」技術!

面對才是資安最佳解決方
由於飛馬間諜軟體Pegasus Spyware來勢洶洶,蘋果(9月14日)就緊急釋出更新,推出 iOS 14.8、iPadOS 14.8、macOS 11.6 及 watchOS 7.6.2,修復蘋果的 iMessage 傳送簡訊後,在用戶不必點擊或打開的情況下,就可以被飛馬間諜軟體Pegasus Spyware入侵 iPhone、iPad 或 Mac的高度風險的安全漏洞。蘋果平台快速解決本身的漏洞,這種負責任的態度,值得嘉許和讚賞!
但反觀Android系統,至今尚未推出任何修正版本,這或許是Android原生系統為一個開放式平台,願意兼容任何App和開發框架,方便使用者加入使用,所以如果沒有推出平台相關的修正版本。但是,各家提供App服務的廠商面對飛馬間諜軟體Pegasus Spyware,Android平台上的Mobile App準備好應戰的能力了嗎?

梗圖


安全和幸福一樣都是比較出來的
相對安全並不代表絕對安全!
相對安全並不代表不用安全!
看到市面上參差不齊的App安全防禦能力,真的憂心大規模攻擊來的那一天。
果核數位的資安團隊,擁有廣大App白帽測試工具和經驗,能透過建議與修補的方式,快速加強App安全方案不足的部分,避免遭受駭客工具的侵擾,來協助開發商或發行商將所有的App安全提升到一定的安全程度。
任何一個廠商都可以給客戶提供「安全保護」,但果核數位提供給客戶的是「安全的奧義」。


延伸連結:從零基礎學破解的駭客工具Magisk Root,看懂駭客攻擊如何操作!










其他訊息