據外媒報導，iMessage漏洞已存在一年之久，最近有37名記者淪為了該漏洞的犧牲品，讓據稱為政府工作的壞人得以監視記者的活動。多倫多大學公民實驗室(University of Toronto’s Citizen Lab)的一份報告稱，他們發現了一次發生在2020年7月至8月期間的行動，其中一次是由政府特工執行的。

資料圖

該行動攻擊了37部iPhone手機，這些手機的主人包括記者、製片人、主播和新聞採集機構的高管，主要目標則是半島電視台。

這些攻擊使用的是NSO Group的Peg ASUS間諜軟件，尤其是一個被叫做Kismet的漏洞。據信，該漏洞是“iMessage中看不見的零點擊漏洞”，是針對iOS 13.5.1和其他可能版本的零日漏洞。

公民實驗室收集的被盜iPhone日誌顯示，在2019年10月至12月期間遭到攻擊的NSO客戶也是被利用了相同的漏洞，這表明該漏洞在相當長一段時間內沒有被發現或修復。

該組織遭到了四個Pegasus運營者的攻擊，其中一個被認為是來自沙特阿拉伯的Monarchy，而另一則被認為是代表阿聯酋實施攻擊的Sneaky Kestrel。

這些運營者很可能跟這兩個國家的王儲有關，因為半島電視台的一名主播在訴訟中指責兩者攻擊了她的iPhone並傳播遭篡改了的受害者的照片。

一旦受到攻擊，目標用戶的iPhone就會在用戶不知情的情況下開始上傳大量數據，有時總計達數百兆字節。據信，正在傳輸的數據包括麥克風錄製的環境音頻、加密電話內容、攝像頭拍攝的照片、設備的位置以及可能存儲的任何密碼或賬戶憑證。

《衛報》看到的一份蘋果聲明稱，這些攻擊是民族國家針對個人的高度定向攻擊。“我們一直敦促用戶下載該軟件的最新版本以保護他們自己及他們的數據，”蘋果補充稱，不過它還暗示其無法獨立核實公民實驗室給出的分析。

據悉，這一攻擊載體似乎不適用於升級到iOS 14或更高版本的iPhone，這可能意味著使用該操作系統的設備目前是安全的。