蘋果上周修補的3個漏洞是被用來安裝Predator間諜程式

蘋果於上周四（9/21）緊急更新了3個已遭駭客濫用的零時差漏洞，提報漏洞的加拿大公民實驗室（Citizen Lab）與Google威脅分析小組分別在隔天揭露了攻擊場景，指出遭到攻擊的是手持iPhone的埃及總統候選人Ahmed Eltantawy，駭客利用相關漏洞在Eltantawy的手機上植入了間諜程式Predator。

公民實驗室說Predator的開發商是Cytrox，Google則說是Intellexa，這是因為有資安業者認為，Intellexa是由包括Cytrox、Nexa Technologies與WiSpear等商業間諜軟體業者共同設立的聯盟，共同開發與銷售Predator，目的是與打造Pegasus間諜程式的NSO Group相抗衡。不過，不管是Cytrox或Intellexa，都已經在今年7月被美國列入禁止商業往來的實體名單（Entity List）中。

Predator的功能與Pegasus類似，在成功植入手機後，它們即可存取手機內部的所有資料，從訊息、電話、照片到密碼，還可以隱藏程式，也能監控手機位置，或是啟動手機鏡頭與麥克風。

公民實驗室指出，曾擔任埃及議員的Eltantawy是在今年3月宣布要參選埃及總統，以取代現任總統Abdel Fattah el-Sisi的專治與鎮壓國家治理手段，之後Eltantawy的家人與支持者即開始受到各種騷擾與逮捕，Eltantawy則懷疑自己的手機受到危害，因而主動找上了該實驗室。

上周蘋果所修補的3個漏洞，分別是可用來執行任意程式的WebKit漏洞CVE-2023-41993，可繞過簽名驗證的CVE-2023-41991，以及可擴充本地端權限的CVE-2023-41992。

根據公民實驗室的調查，Eltantawy是在今年的8到9月間從iPhone造訪了幾個沒有使用HTTPS加密傳輸的網站，當時他使用的是Vodafone Egypt的行動網路，卻悄悄的被轉向到存放Predator的惡意網站。

至於流量之所以能夠神不知鬼不覺地被轉向，除了Eltantawy所造訪的網站缺乏加密之外，也因為駭客是透過一個置放在埃及境內的裝置，藉由網路注入攻擊來遞送Predator。此外，公民實驗室分析，要能精準地針對某個Vodafone用戶進行注入，也必須整合Vodafone的客戶資料庫，再加上埃及政府原本就是Cytrox的客戶，因而相信該攻擊是由埃及政府所主導。

Google則說，當受害者的手機被植入惡意程式之後，惡意程式即開始利用上述3個iOS漏洞，接著執行一個小程式來判斷是否要安裝完整的Predator。

駭客不只鎖定iOS用戶，Android用戶同樣也受到Predator的攻擊，且駭客也利用了Chrome上的零時差漏洞CVE-2023-4762，已於9月5日修補。

公民實驗室指出，此一攻擊事件揭露了整個電信生態系統的潛在風險，人們的網路通訊是藉由許多網路及中介設備來傳送，倘若當中的某些網路與設備遭到濫用，再加上造訪了未加密的網站，就可能受到危害，而這也突顯了應實現百分之百的HTTPS採用率的重要性。

此外，這次攻擊中被注入惡意程式以重新定向的設備，為加拿大網通設備業者Sandvine所生產的PacketLogic，且過去PacketLogic已有遭到濫用的紀錄，使得該實驗室不僅去信Sandvine，也要求加拿大政府應立法來避免出口可能侵犯人權的技術。