情报 骇客盛典“天府杯”阴谋:中国入侵 iPhone 祕密监控维吾尔族【情报来源】
原网址:
https://technews.tw/2021/05/07/how-china-turned-a-prize-winning-iphone-hack-agai
nst-the-uyghurs/
短网址:
https://reurl.cc/0DAo4M
【情报内容】
新疆维吾尔族集中营不断引发争议,各国谴责声不断,中国则强调是为了打击恐怖主义和极
端主义,让外界雾里看花。而中国在 2018 年自创的一场骇客赛事“天府杯”,竟可能暗藏
一连串与新疆争议有关的阴谋。
首先从全球白帽骇客盛事“Pwn2Own”讲起,这个赛事主要吸引各国菁英骇客参加,旨在找
出以前从未发现的软件漏洞,将详细资讯交给相关公司,让他们有时间修复,骇客就能拿到
一笔奖金。中国骇客一直是“Pwn2Own”菁英之一,长期赢得数百万美元奖金,但到 2017
年,一切都停止了。
因中国网络安全服务公司“奇虎 360”创办人周鸿祎公开批评参加者,认为骇客跟这些知识
应该留在中国,才能了解软件漏洞的重要性和“战略价值”,这个论点也被中国当局采纳。
过不久,中国禁止网络安全研究人员参加海外骇客竞赛,取而代之的是,中国本土网络安全
竞赛“天府杯”推出,奖品总计超过 100 万美元。
首届“天府杯”于 2018 年 11 月举行,最大奖由奇虎 360 旗下的研究人员赵奇勋夺得,
他发表一系列漏洞利用的方法,使他能轻松控制最新型 iPhone。
赵奇勋发现,可从 Safari 浏览器为突破点,由于 iPhone 操作系统的内核有缺陷,只要访
问藏有他编写过的恶意代码的网页,远距骇客就能接管任何 iPhone;他也将漏洞利用程式
称为“混乱”(Chaos),这能使犯罪分子或政府监视大量的人民。
2019 年 1 月,也就是天府杯赛事结束 2 个月后,苹果发布修补该漏洞的更新程式。但在
同年 8 月,Google 发布一份针对骇客活动的详尽分析,指出有心人士正在大规模利用 iPh
one 监视他人,研究人员侦测到 5 个独特的漏洞开发链,包括赵奇勋当初赢得天府杯的漏
洞利用程式。
Google 研究人员说这些攻击与“混乱”有些相似,却忘记提及受害者是维吾尔族、骇客是
中国政府的事实。
中国藉 iPhone 安全漏洞攻击维吾尔族
中国政府对维吾尔族的骇客攻击相当激进,还遍布全球,范围包括记者、不同意见者,以及
任何令当局怀疑忠心程度的人。Google 发出骇客报告后,媒体也开始报导,中国骇客借由
iPhone 安全漏洞攻击维吾尔族,跟中国政府也有合作关系。之后,苹果证实遇骇时间长达
2 个月以上,也就是从赵奇勋获得天府杯首奖后,到苹果发布修复方案为止。
根据《麻省理工科技评论》(MIT Technology Review)报导,是美国监视单位发现收集骇
客攻击维吾尔人的漏洞详细讯息,再通知苹果,不过苹果和 Google 都拒绝对此事发表评论
。
美国政府认为,中国同意奇虎 360 提出的“战略价值”计画,当时苹果漏洞已迅速转交给
中国情报部门,并利用监视维吾尔族。针对此事,奇虎 360 和天府杯没有回应,赵奇勋则
坚决否认参与。
美国资安专家 Adam Segal 表示,中国不允许骇客出国参加比赛,似乎是希望漏洞消息留在
中国内部,同时从收入来源控制中国的顶尖骇客,使他们必须跟国家合作。
天府跟中国军方恐有挂勾
令人担心的是,天府杯至今迈入第三年,赞助商包括中国科技巨头阿里巴巴、百度、奇虎 3
60 等大公司,让美国政府担心这些赛事跟中国军方有挂勾。
奇虎 360 市值超过 90 亿美元,由于美国商务部评估涉及中国政府军事采购业务,列入出
口管制黑名单之一。据悉,协助组织天府杯的北京公司天融信 Topsec,为政府提供骇客培
训、服务和招聘,还会雇用民族主义骇客;另外也跟 2015 年医疗保险公司 Anthem 遭中国
骇客入侵事件有关。
天府杯其他赞助商跟组织,像绿盟科技 NSFocus、Venus Tech 也都跟骇客攻击活动脱离不
了关系。另一个值得留意的公司是中国电子科技集团,其中一个子公司为海康威视,负责提
供“维吾尔语分析”和“脸部辨识工具”,2019 年也列入美国贸易黑名单。
天府杯、监视维吾尔族和种族灭绝等的连结证明,早点发现“bug”可能是一种有力的武器
。像今年初,中国骇客利用 Exchange 服务器漏洞,成功入侵上万企业与政府单位,所幸台
湾漏洞防护公司 DEVCORE 及早发现,将问题传给微软,才能让微软比原定计划提前两周赶
出修复程式。
心得 :
个人目前是更新到了ios 14.4.2,有修复浏览器恶意代码的漏洞,这篇给大家参考一下,
https://inf.news/zh-tw/digital/ef05e856e24390fff2cf0b4f9de8d72c.html
防范未然,毕竟对面现在开始打一些资讯战,ios系统上的漏洞已经变"战略物资"了...
只是本来越狱又变入狱,有点难熬xD