监控即服务行业需要跟上

我们又来了：涉及苹果和谷歌智能手机的政府监控的另一个例子已经出现，它显示了政府支持的攻击可以变得多么复杂，以及为什么有理由完全锁定移动平台。

发生了什么？

我不打算过多关注新闻，但简而言之如下：

• 谷歌的威胁分析小组有 公布的信息揭示了黑客攻击.
• 意大利监控公司 RCS Labs 制造了这次攻击。
• 该攻击已在意大利和哈萨克斯坦使用，可能还有其他地方。
• 某些世代的攻击是在 ISP 的帮助下进行的。
• 在 iOS 上，攻击者滥用了 Apple 的企业认证工具，这些工具支持内部应用程序部署。
• 使用了大约九种不同的攻击。

攻击是这样进行的：目标被发送一个独特的链接，旨在诱使他们下载和安装恶意应用程序。 在某些情况下，这些间谍与 ISP 合作禁用数据连接，以诱骗目标下载应用程序以恢复该连接。

Apple 已修复这些攻击中使用的零日漏洞。 它之前曾警告说，坏演员已经 滥用其允许企业分发的系统 apps 在内部. 这一发现与 Lookout Labs 最近发布的名为 Hermit 的企业级 Android 间谍软件有关。

有什么风险？

这里的问题是，诸如此类的监控技术已经商业化。 这意味着历史上只有政府才能使用的能力也被私人承包商使用。 这代表了一种风险，因为高度机密的工具可能会被泄露、利用、逆向工程和滥用。

As 谷歌说：“我们的调查结果强调了商业监控供应商在多大程度上增加了历史上只有具有技术专长的政府使用来开发和实施漏洞利用的能力。 这会降低互联网的安全性，并威胁到用户所依赖的信任。”

不仅如此，这些私人监控公司还在使危险的黑客工具激增，同时向政府提供这些高科技窥探设施——其中一些似乎喜欢监视持不同政见者、记者、政治反对派和人权工作者。 

更大的危险是谷歌已经在追踪至少 30 家间谍软件制造商，这表明商业监控即服务行业很强大。 这也意味着现在理论上，即使是最不可信的政府也有可能访问用于此类目的的工具——鉴于许多已识别的威胁利用网络犯罪分子识别的漏洞，认为这是另一个鼓励恶意软件的收入来源似乎是合乎逻辑的。研究。

什么是风险？

问题是：私有化监控的提供者和网络犯罪之间的这些看似密切的联系并不总是朝着一个方向起作用。 这些漏洞利用——至少其中一些似乎很难发现只有政府才有资源能够做到这一点——最终会泄露。

尽管苹果、谷歌和其他所有人仍然致力于一场猫捉老鼠的游戏，以防止此类犯罪，尽可能关闭漏洞利用，但风险是任何政府规定的后门或设备安全漏洞最终都会潜入商业市场市场，它将从那里到达犯罪市场。

欧洲数据保护监管机构警告说：“有关 Pegasus 间谍软件的披露引发了非常严重的问题，即现代间谍软件工具可能对基本权利产生影响，尤其是对隐私权和数据保护权的影响。”

这并不是说安全研究没有正当理由。 任何系统都存在缺陷，我们需要激励人们去发现它们； 如果没有各种安全研究人员的努力，安全更新根本不会存在。 苹果 支付高达六位数 给发现其系统漏洞的研究人员。

接下来会发生什么？

今年早些时候，欧盟数据保护主管呼吁禁止使用 NSO 集团臭名昭著的 Pegasus 软件。 事实上，该呼吁走得更远，彻底寻求“禁止开发和部署具有 Pegasus 能力的间谍软件”。

NSO 集团现在显然 待售.

欧盟也表示 如果在特殊情况下使用此类漏洞，则此类使用应要求 NSO 等公司接受监管。 作为其中的一部分，他们必须尊重欧盟法律、司法审查、刑事诉讼权利，并同意不进口非法情报、不政治滥用国家安全并支持公民社会。

换句话说，这些公司需要整合。

你可以做什么

继去年有关 NSO 集团的爆料之后，Apple 发布了以下最佳实践建议 以帮助减轻此类风险。

• 将设备更新到最新的软件，其中包括最新的安全修复程序。
• 使用密码保护设备。
• 对 Apple ID 使用双重身份验证和强密码。
• Install 安装 apps 来自App Store。
• 在线使用强大且唯一的密码。
• 不要点击来自未知发件人的链接或附件。

请跟我来 Twitter，或加入我 AppleHolic 的酒吧和烧烤 和 苹果讨论区 MeWe 上的群组。