信息化觀察網(wǎng)

本文來自微信公眾號“嘶吼專業(yè)版”，作者/胡金魚。

Google威脅分析小組(TAG)在2023年發(fā)現(xiàn)的用于監(jiān)視全球設(shè)備的0 day漏洞中，80%都是商業(yè)間諜軟件供應(yīng)商(CSV)所為。他們跟蹤了40家商業(yè)間諜軟件供應(yīng)商，發(fā)現(xiàn)過去10年間影響其產(chǎn)品的72個已知的野外0 day漏洞中有35個可歸因于間諜軟件供應(yīng)商。

“這是一個下限估計，因為它只反映了已知的0 day漏洞。在考慮了CSV使用的尚未檢測到的漏洞之后，針對Google產(chǎn)品的CSV開發(fā)的0 day漏洞的實際數(shù)量幾乎肯定會更高。”谷歌相關(guān)人員表示。

這些間諜軟件供應(yīng)商根據(jù)客戶（包括政府和私人組織）的指示，利用0 day漏洞來攻擊記者、公眾人物和政治人物。

Google報告中突出顯示的一些值得注意的CSV包括：

·Cy4Gate和RCS Lab：意大利公司，以Android和iOS的“Epeius”和“Hermit”間諜軟件而聞名。前者于2022年收購后者，但獨立運營。

·Intellexa：自2019年起由Tal Dilian領(lǐng)導的間諜軟件公司聯(lián)盟。它結(jié)合了Cytrox的“Predator”間諜軟件和WiSpear的WiFi攔截工具等技術(shù)，提供集成的間諜解決方案。

·Negg Group：意大利CSV，成立于2013年。它以“Skygofree”惡意軟件和“VBiss”間諜軟件而聞名，通過漏洞利用鏈針對移動設(shè)備。

·NSO集團：以Pegasus間諜軟件和其他復雜間諜工具而聞名的以色列公司。盡管涉及法律問題，但它仍在繼續(xù)運營。

·Variston：西班牙CSV，提供量身定制的安全解決方案。它與其他供應(yīng)商合作進行0 day漏洞利用，并與Heliconia框架相關(guān)聯(lián)，在阿聯(lián)酋進行擴展。

這些供應(yīng)商以數(shù)百萬美元的價格出售使用其產(chǎn)品的許可證，允許客戶使用未記錄的一鍵或零點擊漏洞來感染Android或iOS設(shè)備。

谷歌表示，CSV在尋找0 day漏洞方面非常積極，在2019年至2023年間開發(fā)了至少33個針對未知漏洞的漏洞利用程序。

在Google詳細報告的附錄中，可以找到11個CSV使用的74個0 day的列表。其中，大多數(shù)是影響Google Chrome(24)和Android(20)的0 day漏洞，其次是Apple iOS(16)和Windows(6)。

當白帽研究人員發(fā)現(xiàn)并修復被利用的漏洞時，CSV通常會遭受重大的運營和財務(wù)損失，因為他們很難重建有效的替代感染途徑。

谷歌表示：“每次谷歌和其他安全研究人員發(fā)現(xiàn)并披露新的錯誤，都會給CSV帶來阻力并降低開發(fā)周期。”

“當我們發(fā)現(xiàn)并修補漏洞利用鏈中使用的漏洞時，它不僅可以保護用戶，還可以阻止CSV履行與客戶的協(xié)議，阻止他們獲得報酬，并增加他們繼續(xù)運營的成本。”

谷歌呼吁需對間諜軟件行業(yè)采取更多行動，包括政府之間加強合作、引入嚴格的指導方針來管理監(jiān)控技術(shù)的使用，以及與托管不合規(guī)供應(yīng)商的國家進行外交努力。

Google通過安全瀏覽、Gmail安全、高級保護計劃(APP)和Google Play Protect等解決方案，以及通過與技術(shù)社區(qū)公開共享威脅信息等舉措，積極應(yīng)對間諜軟件威脅。