WhatsApp 确认通话功能存在间谍软件漏洞
以经端至端加密连接闻名的 WhatsApp,结果还是被当作间谍活动的途径。WhatsApp 和伊色列开发商 NSO Group 确认他们在 Android 和 iOS 版本 WhatsApp 的通话功能发现漏洞,而且成功置放 NSO 的 Pegasus 间谍软件。这工具即使使用者没有应答电话,也可以对目标进行攻击,而且不会留下通话记录。Pegasus 还可以开启相机和麦克风功能,以及存取位置和讯息内容。
据分析指这工具曾被使用到监控中东地区的人权运动参与者,其中一次失败的记录是在 5 月 12 日有不知名攻击者瞄准了身处英国的人权律师,他当时协助加拿大的沙特异见人士,并有份控告 NSO,要求承担与其间谍工具的客户同样的责任。NSO 被指向中东情资机构出售间谍工具,不少异见人士都曾表示收到过安装 Pegasus 的手机短信。
WhatsApp 已经就此事向人权组织和美国司法部发警告,指这私人公司有着“所有特征”证明他们有跟政府合作散播间谍工具。然而 NSO 否认指控,并指他们在任何情况下都不会操作或辨识透过其技术针对的目标,同时还补充说他们已经筛选并检查滥用其产品的行为,其中包括了上面提及过针对英国律师的攻击。
WhatsApp 表示相关漏洞已经在 5 月 10 日在服务器端完成修复,并于 13 日释出用户端更新。然而,这并不代表人们能完全免于 NSO、Hacking Team 等会与政府合作的间谍软件公司的伤害。这一场情资战争还得持续下去。
来源:
https://chinese.engadget.com/2019/05/14/whatsapp-call-exploit-allowed-spyware/