黑客總是有辦法黑進你的iPhone 。來自公民實驗室(Citizen Lab)的研究人員表示，他們發現，有證據表明數十名記者的iPhone 秘密被間諜軟件攻擊，且這些軟件都是被國家所使用。而且該漏洞已存在一年之久，iOS13.5.1 和可能的其他版本都有可能中招……

更為可怕的是這種攻擊方式沒有任何痕跡，也不需要你打開任何惡意鏈接，黑客就能黑進你的iPhone ,訪問你的密碼、麥克風音頻，甚至抓拍照片。

也就是說，你的秘密都蕩然無存了。

不過，根據公民實驗室的研究報告，黑客的攻擊目標似乎不是個人。這些手機的主人包括記者、製片人、主播和新聞採集機構的高管，主要目標則是半島電視台。

漏洞是如何被發現的？

據報導，這些攻擊使用的是NSO Group的Peg ASUS間諜軟件，尤其是一個被叫做Kismet的漏洞。

根據百度百科介紹，NSO Group 是以色列數十家數字間諜工具開發公司之一，它們的產品可追踪智能手機上的任何活動。他們主要為世界各國政府和執法機構提供服務。它最得意的網絡武器Pegasus，就是一款可以監控目標人物的手機間諜軟件。

最大功能是從受害者的手機訪問大量隱私數據，更直白地說，是專門竊取記者、外交官、人權活動家、政府高級官員等敏感人群的重要信息。

被各界稱為“殺人軟件”，能實現無感知、難溯源、長期持續、精准定向的網絡入侵、監聽、攻擊等活動。

而研究人員發現的漏洞攻擊也是從記者身上開始的。

今年早些時候，半島電視台調查記者Tamer Almisshal 懷疑自己的電話可能被竊聽，多倫多大學的互聯網監管機構Citizen Lab 被委任調查此事。

研究人員在一份技術報告中表示，他們認為這兩名記者的iPhone 感染了由以色列NSO Group 開發的PegASUS 間諜軟件。

研究人員分析了Almisshal 的iPhone 並發現在7 月至8 月期間它曾跟NSO 用來傳送Pegasus （飛馬軟件）間諜軟件的服務器連接。該設備顯示出一系列網絡活動，這表明間諜軟件可能是通過iMessage（即時消息） 悄悄發送的。

而手機日誌也顯示，間諜軟件可能會秘密記錄麥克風和電話通話、使用手機攝像頭拍照、訪問受害者的密碼並跟踪手機的位置。

根據調查，這些入侵活動可能從2019 年10 月就開始了。

更為可怕的是，你的iPhone 被攻擊後，你是完全無法感知的。

那麼，你的哪些信息最危險呢？

據研究人員的介紹，一旦被攻擊，目標用戶的iPhone 就會在用戶不知情的情況下開始上傳大量數據，有時總計達數百兆字節。比如正在傳輸的數據包括麥克風錄製的環境音頻、加密電話內容、攝像頭拍攝的照片、設備的位置以及可能存儲的任何密碼或賬戶憑證。

你的隱私一覽無餘。

這也太可怕了。

隨後，NSO 否認了這一猜測。

NSO 發言人表示：

這是我們第一次聽到這些斷言。正如我們一再聲明的那樣，我們無法獲得任何與個人身份有關的信息，據稱我們的系統被用來對這些個人進行監視。然而，當我們收到濫用的可信證據，以及被指控目標和時間框架的基本標識符時，我們會根據產品濫用調查程序採取一切必要措施來審查這些指控。

我們知道公民實驗室定期發布基於不准確假設和不完全掌握事實的報告，該報告可能會遵循NSO 提供的產品使政府執法機構能夠僅應對嚴重的有組織犯罪和反恐的主題，但正如過去所述，我們不操作這些產品。然而，我們致力於確保我們的政策得到遵守，任何違規證據都將受到認真對待和調查。

但Citizen Lab 卻依舊堅持自己的主張。

NSO 為何被懷疑？

在安全圈，來自以色列的NSO 集團，是世界上最秘密的監視技術製造商，也是令人聞風喪膽的“網絡軍火商”。

而該公司最得意的產品之一就是 Pegasus。

據統計，Pegasus 被用在全球至少45 個國家，至少10 個攻擊組織在進行著活躍的跨境入侵監控行為。

而如前文中所述，研究人員在被攻擊的記者手機中也發現了 Pegasus 的踪跡，這是其一。

其二，從入侵手段來看，Pegasus 是有很多“前科”的。

2016 年，阿聯酋著名人權捍衛者艾哈邁德·曼索爾（Ahmed Mansoor）聯繫到Citizen Lab 組織，分享了自己手機中包含Pegasus 的消息，而經Lookout 公司研究發現，最終以報告的形式，向世人揭露了Pegasus 手機監測軟件的醜陋面容。

2017年，墨西哥調查記者Javier Valdez 被人從車內拖出，連射12 槍，倒在了自己一手創辦的《Riodoc》周刊編輯部附近。

槍擊案前，Javier Valdez 和同事們收到了精心設計的短信，手機在無感知的情況下被安裝了Pegasus 軟件。從此，手機像打開了大閘，各種私人郵件、敏感信息、圖片視頻源源不斷被送到犯罪分子手中，一場慘劇由此釀成。

2019 年，Facebook與NSO 集團展開了長達210 天的訴訟案。

訴訟原因是Facebook 發現NSO 利用 WhatsApp 中的一個嚴重漏洞（CVE-2019-3568），可以在用戶沒有接聽的情況下，非法入侵手機，並在Android 和IOS 上遠程安裝Pegasus。

更讓人感到害怕的是，以往指向NSO Group 的Pegasus 攻擊活動，可能需要用戶自己點擊短信中的鏈接，手機就會被強行安裝Pegasus 。

而這一次的攻擊不同，甚至無需用戶點擊任何鏈接，他們就能黑進你的iPhone “作惡”了。

也就是說，為了避免成為被攻擊的對象，現在唯一的辦法就是換一個新手機了。