Pegasus：iOS和Android系统终极间谍软件

苹果iPhone和iPad用户通常认为自己是安全的。他们表示，没有针对iOS的恶意软件。苹果几乎没采取任何措施来改变用户心目中的这种印象 – 苹果甚至不允许自己的App Store中有反病毒解决方案，原因嘛，你知道的，据说苹果系统根本不需要反病毒软件。

在这里我们用的词是”据说”。实际上，在研究中发现确实存在针对iOS用户的恶意软件 – 而且事实也多次证明了这一点。2016年8月，研究人员透露了Pegasus（飞马）的存在，这种间谍软件会劫持任何iPad或iPhone，收集被攻击用户的相关数据，并对这些用户进行监视，再次证明了iOS系统并不是铜墙铁壁。这一发现让整个网络安全领域…感到不安。

在卡巴斯基安全分析师峰会上，Lookout的研究人员透露，Pegasus不仅会攻击iOS，也会攻击Android。Android版本在某些方面与iOS版本不同。下面我们就着重谈谈Pegasus，并解释为什么我们要用”终极”这个词来形容它。

Pegasus：发现

Pegasus的发现得感谢阿联酋人权活动家Ahmed Mansoor，因为他碰巧成为Pegasus的其中一个攻击目标。Pegasus是一种鱼叉式网络钓鱼攻击：Mansoor收到了几条他觉得其中含有恶意链接的短信，所以他把这些短信发给了Citizen Lab的安全专家，后者又请另一家网络安全公司Lookout参与了调查。

Mansoor是对的。如果他当时点击了这些链接，他的iPhone会被恶意软件感染 – 针对iOS的恶意软件。准确地说，是针对没有越狱的iOS。这款恶意软件被戏称为Pegasus，Lookout研究人员称，这是他们迄今为止在所有端点上见过的最为复杂的攻击。

Pegasus出自NSO集团之手，这是一家以色列公司，专门开发间谍软件。这意味着这款恶意软件是商业产品 – 只要掏钱就能买到。Pegasus利用iOS中的三个零日漏洞（以前未知的漏洞），能以静默方式对设备越狱并安装监控软件。另一家网络安全公司Zerodium曾经悬赏百万美元寻找iOS中的零日漏洞，所以完全可以想见，开发Pegasus肯定花了一大笔钱。

说到监视，我们要弄清楚的一点是：我们谈论的是全面监视。Pegasus是一种模块化恶意软件。扫描目标设备后，会安装必要的模块来读取用户的短信和邮件、监听电话、捕捉截屏、记录按键、窃取浏览器历史记录、通讯录等等。基本上，它能窥探被攻击目标的生活方方面面。

另外值得注意的是，Pegasus甚至可以监听加密的音频流并读取加密消息 – 因为它有按键记录和音频录音功能，所以能在消息加密之前就窃取消息（而对于传入的消息，能在解密之后窃取）。

Pegasus另一个有意思的地方是，它非常努力地试图隐藏自己。如果Pegasus超过60天无法与命令控制（C&C）服务器进行通信，或者如果检测到目标安装设备不正确，不是目标SIM卡，则会启动自毁程序（请记住，这是一款有针对性的间谍软件；NSO的客户不会追踪随机被攻击用户）。

脱缰的野马

或许Pegasus的开发商认为他们在这个项目中投入了那么多的资金，不应该只限制用于一个平台。在第一个版本被发现之后，在很长一段时间并没有发现第二个版本，而在2017年安全分析师峰会上，Lookout研究人员谈到了Pegasus for Android，也称为Chrysaor – Google是这么叫它的。Android版本与其iOS版本的功能非常相似，但在穿透设备的技术方面有所不同。

Pegasus for Android利用的不是零日漏洞。相反，它利用的是赫赫有名的root权限获取方法 – Framaroot。另一个区别是：如果iOS版本无法对设备越狱，整个攻击即告失败，但若是使用Android版本，即便恶意软件无法获得必要的root访问权来安装监控软件，也仍然会直接要求用户提供所需权限，以便至少窃取其中一些数据。

Google称只有几十台Android设备被感染，但是对于有针对性的网络间谍攻击，这已经不算少了。在发现的被Pegasus for Android入侵的设备中，以色列最多，格鲁吉亚紧随其后，墨西哥排名第三。此外在土耳其、肯尼亚、尼日利亚、阿联酋等国家也发现了Pegasus for Android。

你可能是安全的，但是…

Pegasus iOS版的新闻曝出后，苹果公司迅速作出反应，紧急发布了iOS安全更新（9.3.5），修补了上述三个漏洞。

Google除了协助调查了Android版本的情况外，采取了另一条途径，它直接通知潜在的Pegasus攻击目标。如果你已经将iOS小工具更新到最新软件版本，并且没有收到Google的警告消息，那么你可能是安全的，没有受到Pegasus的监视。

然而，这并不意味着就没有针对iOS和Android这两个系统的其他未知间谍软件。Pegasus的存在证明了iOS恶意软件不仅仅是恶意编码的广告软件和勒索网站，这些都很容易阻止。在研究实验室中还发现了一些严重的威胁。为此，下面是我们的三个简单建议，有助于你尽可能保持安全。

1.务必及时更新设备，特别注意安全更新。

2.在每台设备上安装一款优秀的安全解决方案。iOS上没有安全软件，但我们希望Pegasus能促使苹果重新考虑其安全策略。

3.别被网络钓鱼所骗，即使是像Ahmed Mansoor这样有针对性的鱼叉式网络钓鱼。如果收到未知来源发送的链接，切勿自动单击。点击之前请三思，或者干脆就不要点击。