谷歌威胁分析小组发现了利用零日漏洞针对全球Android和iOS用户的间谍软件活动。
零日漏洞是指供应商不知道的软件漏洞,或者在被坏人利用时尚未修复的软件漏洞。
谷歌说它发现的攻击似乎得到了政府的支持,部署了出售给各国的商业间谍软件产品,据称是为了帮助执法调查。
谷歌的TAG团队追踪30多家商业间谍软件供应商,监控他们的能力,并试图通过为其产品提供安全补丁来保持领先,同时通知其他受影响的技术供应商。
賽风电脑版官方网站下载
TAG报告中描述的第一个活动被称为 "您遗漏的包裹",始于2022年11月,针对Android和iOS的零日漏洞。
攻击始于向目标发送的短信,其中包含用bit.ly服务缩短的链接。 这些链接将受害者带入利用漏洞使他们的设备感染GPS跟踪间谍软件的网页,然后将他们重定向到合法网站。
谷歌
在iOS案例中,漏洞链针对iOS 15.1之前的版本使用了以下漏洞:
- CVE-2022-42856: 利用JIT編譯器中的類型混淆問題,導致WebKit遠端執行程式碼。
- CVE-2021-30900: AGXAccelerator中的一个沙箱逃逸和权限升级错误,已在iOS 15.1中被苹果修复。
在安卓系统中,漏洞利用链需要ARM GPU和106之前的Chrome版本。 在这种情况下被利用的漏洞是
- CVE-2022-3723: Avast发现Chrome浏览器存在类型混乱漏洞,并于2022年10月在107.0.5304.87版本中进行了修复。
- CVE-2022-4135: Chrome浏览器的GPU沙盒绕过仅影响Android(利用时为0天),已于2022年11月修复。
- CVE-2022-38181。: ARM在2022年8月修复了一个权限升级错误。
威胁者甚至使用 "意图重定向 "将三星互联网浏览器的用户重定向到Chrome浏览器,以确保攻击也能在三星设备上生效。
賽风电脑下载
TAG提出的第二个活动于2022年12月被发现,但自2020年以来一直在进行。 它针对的是阿拉伯联合酋长国的三星用户。
攻击始于向目标发送的短信,短信中包含在设备上投放由Variston创建的安卓间谍软件套件的网页链接。
漏洞链中的漏洞针对的是当时最新版本的三星浏览器,该浏览器基于Chromium 102,是一个不包含最新安全修复的旧版本。 因此,漏洞利用链既包括零日漏洞,也包括当时最新修补的已知漏洞。
- CVE-2022-4262: 2022年12月修复了Chrome中的一个类型混乱漏洞(利用时为0天),类似于CVE-2022-1134。
- CVE-2022-3038: 由Sergei Glazunov于2022年6月发现,于2022年8月修复了Chrome浏览器105版本中的沙箱逃逸问题。
- CVE-2022-22706: ARM在2022年1月修复了Mali GPU内核驱动程序中的一个漏洞,该漏洞被标记为在野外使用。 最新的三星固件在交付时并未包含对该漏洞的修复,从而使攻击者获得了系统访问权限。
- CVE-2023-0266: 在Linux内核声音子系统中存在可从系统用户访问的竞赛条件漏洞,攻击者可获得内核读写权限(漏洞利用时为0天)。
在CVE-2022-22706和CVE-2023-0266的案例中,漏洞利用链还利用了多个内核信息泄露问题,谷歌已向ARM和三星报告了这些问题。
下载賽风电脑版
尽管谷歌努力阻止政府资助的间谍软件感染,但仍有太多的雇佣间谍软件供应商向安全研究人员支付高得离谱的费用,以发现目标系统中的漏洞并私下提供这些漏洞。
大赦国际其安全实验室团队发现了谷歌报告中强调的第二个活动,并通知了该科技巨头。
"大赦国际安全实验室负责人Donncha Ó Cearbhaill评论说:"尽管修复这些漏洞至关重要,但这只是全球间谍软件危机的一贴膏药。
将感染间谍软件的几率降至最低的唯一方法是在设备上应用可用的安全更新,一旦它们可用。 如果您使用的是不支持的旧设备,建议您更换为定期接受安全更新的新机型。
"将感染间谍软件的几率降至最低的唯一方法是在设备上应用可用的安全更新,一旦它们可用。 如果您使用的是不支持的旧设备,建议您更换为定期接受安全更新的新机型"。
为了最大限度地减少机会! 有一种方法可以确保完全不受间谍软件的侵害。
停止使用智能手机。
笑。 这就好比说,如果你不想被车撞,那就建个碉堡住进去。