2023年2月27日，俄罗斯反病毒软件开发公司卡巴斯基在世界移动通信大会上设展位。近日，卡巴斯基公布，旗下有iOS设备遭到不明木马感染。

问：俄罗斯反病毒软件开发公司卡巴斯基最近发现了一款专门针对iMessage的神秘木马病毒，为了追寻该病毒的幕后黑手，卡巴斯基更特别设立了名为三角测量行动的专页。整件事来龙去脉如何？该木马病毒又有何特性？

李建军：卡巴斯基公司进行例行内部保安检查时，发现有不少iOS设备遭到不明木马感染，随后卡巴斯基利用国际特赦组织提供的工具，检测木马确实存在，由于这个木马十分狡猾，在成功入侵后，就会删除原来用作攻击之用的档案和信息，因此卡巴斯基要透过分析部分iOS设备的旧备份档案内容，才知道这木马部分运作方式。

这个暂时未有正式名字的木马，透过iMessage将感染用的木马档案送到目标对象的智能手机后，手机就会立即被感染，不用作进一步动作。感染档案成功入侵后，就会自行与遥距指挥及控制的主机联络，偷龙转凤，换上另一个感染档案，并将原有的信息、感染用档案以及通讯纪录删除于无形，之后才会正式开始对被感染手机大肆偷取资料，同时阻止手机更新作业系统堵塞漏洞。这款木马能够感染iOS 15.7版的手机，但暂未有iOS 16被成功感染的报告。

问：iOS用户有甚么方法可以预防这个神秘木马？

李建军：首先，这段日子都不要使用iMessage，因为很明显iMessage仍然有相当严重的保安漏洞，否则黑客不会这样成功植入木马。以严密保安著称的苹果这次真说得上是百密一疏。

另一方面，请同步更新iOS。而假如你发现iOS一直都更新失败，有可能其实你的手机早已被木马严重感染，如果你的手机仍然在保养期内，应尽早联络苹果公司，约时间前往苹果商店试图解决问题。相信经卡巴斯基公司这次报告后，苹果公司的技术人员都会有所准备，应付大批用户对木马造成的问题的查询。

问：卡巴斯基的调查最后是否找出了这款木马病毒背后的黑手？

李建军：目前连卡巴斯基能够得到针对这款病毒的研究资料都相当有限，而且，这次那些控制和指挥中心主机都相当狡猾，在卡巴斯基公司公布这堆主机的域名后，立即删除DNS纪录；而在它们的域名被公布之前，这些主机都是藏身在Cloudflare内。

我透过Domaintools来翻查相关域名的DNS纪录，这些域名之前有人用过，但在2013至2015年左右，因不明原因弃用，而在去年十月左右重新复活，在藏身Cloudflare之前，这些主机多数设在韩国、新加坡、澳大利亚等远东国家，因此，有理由相信这次攻击的集团，有可能同个别远东国家有关。但由于所使用的主机散落各国，要解开谜团，Cloudflare和亚马逊公司会否与卡巴斯基公司交换资料就成关键。此外这次神秘木马袭击，有可能需要各国执法部门介入，追踪相关人士用以支付主机费用的信用卡资料，顺藤摸瓜才能找到真凶。尽管如此，攻击者也有可能使用Cloudflare和AWS的免费试用服务来进行攻击任务——这样一来可让黑客节省攻击成本，而且是避过执法机构追查的方式之一。

问：这种木马病毒日后会否出现新变种？

李建军：虽然iOS大部分都十分安全，但iMessage的漏洞和臭虫之多，已经到了一个令人无法接受的地步，如果苹果公司不对iMessage的程式码作出彻底修正的话，类似木马的变种会源源不绝，而彻底防止同类型木马袭击的方法，那就是暂停使用iMessage，并且改用其他开源的点对点加密通讯软件，例如Signal。通讯软件与作业系统完整整合，所造成的问题可能比想像中多很多，未必再是合理的做法。

要等到苹果完全修正iMessage的问题，有可能都要等到苹果下一代甚至再下一代iOS推出，因此，用户很可能要关闭iMessage一段长时间，才可能防止同类木马的袭击。尤其目前尚不清楚主导该病毒的幕后黑手到底是个人、组织抑或国家行为，该木马又会否与中国当局有关，因此就更应要小心谨慎，不要随便启动iMessage的功能自招麻烦。