不知名的惡意程式利用iMessage攻擊iPhone用戶

安全廠商卡巴斯基本周揭露有人以一個全新、不知名的惡意程式攻擊iPhone用戶，並企圖蒐集用戶行為資訊，受害者包含卡巴斯基員工。

該公司是在檢查公司內部無線網路時，發現員工iPhone有異常活動，隨後利用國際特赦組織開發的Mobile Verification Toolkit（MVT）發現特定入侵指標。該公司並將這起攻擊行動命名為Operation Triangulation。

卡巴斯基執行長Eugene Kaspersky指出，調查分析才剛開始，尚無法得知這樁攻擊的完整面貌。目前僅知，攻擊行動是攻擊者傳送有惡意附件的iMessage給受害者，再利用多個已知iOS漏洞安裝惡意軟體。攻擊過程無需用戶任何動作，只要點選訊息即可安裝惡意程式，並啟動後續下載最終植入間諜軟體。該公司說，其中一個漏洞是蘋果去年12月就修補的CVE-2022-46690，是一個中度風險越界寫入（out-of-bounds write）漏洞。

一旦用戶iPhone被植入間諜軟體，就會開始蒐集iPhone中的麥克風錄音、iMessage的相片、定位及其他多種活動的資料，再送到外部伺服器上。卡巴斯基目前還在研究這間諜軟體，可以確定的是Operation Triangulation和之前已知的iOS間諜軟體，包括Pegasus、Predator或Reign都不同。

雖然受限於iOS設計，這個惡意程式無法長期在iPhone內長期滲透，但是卡巴斯基分析多個受害手機顯示，可能手機重開機會再度感染惡意程式。他們追查到最早感染時間為2019年，但到2023年6月，攻擊仍在進行中。最新近被感染的iOS版本為15.7版。

卡巴斯基也有數十名員工遭到感染，但該公司表示由於及早採取行動，公司作業流程和用戶資料都未受影響，也解決了威脅。執行長Kaspersky說，他們相信自己並非主要攻擊目標。

遭到感染的用戶不易察覺，不過仍有跡可循。最明顯的感染指標是iPhone的「資料使用」項顯示有BackupAgent的行程。少部分受害iPhone會無法安裝iOS更新。

雖然這樁攻擊行動尚有許多疑點待研究，但只要關閉iMessage就能防止Triangulation行動的攻擊。