标题:中国iPhone监察始于2017
作者:
日期:2021-07-03 15:43:18
内容:

原题：中国iPhone监察维吾尔族始于2017

首先從全球白帽駭客盛事「Pwn2Own」講起，這個賽事主要吸引各國菁英駭客參加，旨在找出以前從未發現的軟體漏洞，將詳細資訊交給相關公司，讓他們有時間修復，駭客就能拿到一筆獎金。中國駭客一直是「Pwn2Own」菁英之一，長期贏得數百萬美元獎金，但到 2017 年，一切都停止了。

因中國網路安全服務公司「奇虎 360」創辦人周鴻禕公開批評參加者，認為駭客跟這些知識應該留在中國，才能了解軟體漏洞的重要性和「戰略價值」，這個論點也被中國當局採納。過不久，中國禁止網路安全研究人員參加海外駭客競賽，取而代之的是，中國本土網路安全競賽「天府杯」推出，獎品總計超過 100 萬美元。

首屆「天府杯」於 2018 年 11 月舉行，最大獎由奇虎 360 旗下的研究人員趙奇勳奪得，他發表一系列漏洞利用的方法，使他能輕鬆控制最新型 iPhone。

趙奇勳發現，可從 Safari 瀏覽器為突破點，由於 iPhone 操作系統的內核有缺陷，只要訪問藏有他編寫過的惡意代碼的網頁，遠距駭客就能接管任何 iPhone；他也將漏洞利用程式稱為「混亂」（Chaos），這能使犯罪分子或政府監視大量的人民。

2019 年 1 月，也就是天府杯賽事結束 2 個月後，蘋果發布修補該漏洞的更新程式。但在同年 8 月，Google 發布一份針對駭客活動的詳盡分析，指出有心人士正在大規模利用 iPhone 監視他人，研究人員偵測到 5 個獨特的漏洞開發鏈，包括趙奇勳當初贏得天府杯的漏洞利用程式。

Google 研究人員說這些攻擊與「混亂」有些相似，卻忘記提及受害者是維吾爾族、駭客是中國政府的事實。

中國藉 iPhone 安全漏洞攻擊維吾爾族

中國政府對維吾爾族的駭客攻擊相當激進，還遍布全球，範圍包括記者、不同意見者，以及任何令當局懷疑忠心程度的人。Google 發出駭客報告後，媒體也開始報導，中國駭客藉由 iPhone 安全漏洞攻擊維吾爾族，跟中國政府也有合作關係。之後，蘋果證實遇駭時間長達 2 個月以上，也就是從趙奇勳獲得天府杯首獎後，到蘋果發布修復方案為止。

根據《麻省理工科技評論》（MIT Technology Review）報導，是美國監視單位發現收集駭客攻擊維吾爾人的漏洞詳細訊息，再通知蘋果，不過蘋果和 Google 都拒絕對此事發表評論。

美國政府認為，中國同意奇虎 360 提出的「戰略價值」計畫，當時蘋果漏洞已迅速轉交給中國情報部門，並利用監視維吾爾族。針對此事，奇虎 360 和天府杯沒有回應，趙奇勳則堅決否認參與。

美國資安專家 Adam Segal 表示，中國不允許駭客出國參加比賽，似乎是希望漏洞消息留在中國內部，同時從收入來源控制中國的頂尖駭客，使他們必須跟國家合作。

天府跟中國軍方恐有掛勾

令人擔心的是，天府杯至今邁入第三年，贊助商包括中國科技巨頭阿里巴巴、百度、奇虎 360 等大公司，讓美國政府擔心這些賽事跟中國軍方有掛勾。

奇虎 360 市值超過 90 億美元，由於美國商務部評估涉及中國政府軍事採購業務，列入出口管制黑名單之一。據悉，協助組織天府杯的北京公司天融信 Topsec，為政府提供駭客培訓、服務和招聘，還會僱用民族主義駭客；另外也跟 2015 年醫療保險公司 Anthem 遭中國駭客入侵事件有關。

天府杯其他贊助商跟組織，像綠盟科技 NSFocus、Venus Tech 也都跟駭客攻擊活動脫離不了關係。另一個值得留意的公司是中國電子科技集團，其中一個子公司為海康威視，負責提供「維吾爾語分析」和「臉部辨識工具」，2019 年也列入美國貿易黑名單。

天府杯、監視維吾爾族和種族滅絕等的連結證明，早點發現「bug」可能是一種有力的武器。像今年初，中國駭客利用 Exchange 伺服器漏洞，成功入侵上萬企業與政府單位，所幸台灣漏洞防護公司 DEVCORE 及早發現，將問題傳給微軟，才能讓微軟比原定計劃提前兩週趕出修復程式。

返回列表 网站首页