问:俄罗斯反病毒软件开发公司卡巴斯基最近发现了一款专门针对iMessage的神秘木马病毒,为了追寻该病毒的幕后黑手,卡巴斯基更特别设立了名为三角测量行动的专页。整件事来龙去脉如何?该木马病毒又有何特性?F0j免费翻墙网
李建军:卡巴斯基公司进行例行内部保安检查时,发现有不少iOS设备遭到不明木马感染,随后卡巴斯基利用国际特赦组织提供的工具,检测木马确实存在,由于这个木马十分狡猾,在成功入侵后,就会删除原来用作攻击之用的档案和信息,因此卡巴斯基要透过分析部分iOS设备的旧备份档案内容,才知道这木马部分运作方式。F0j免费翻墙网
这个暂时未有正式名字的木马,透过iMessage将感染用的木马档案送到目标对象的智能手机后,手机就会立即被感染,不用作进一步动作。感染档案成功入侵后,就会自行与遥距指挥及控制的主机联络,偷龙转凤,换上另一个感染档案,并将原有的信息、感染用档案以及通讯纪录删除于无形,之后才会正式开始对被感染手机大肆偷取资料,同时阻止手机更新作业系统堵塞漏洞。这款木马能够感染iOS 15.7版的手机,但暂未有iOS 16被成功感染的报告。F0j免费翻墙网
问:iOS用户有甚么方法可以预防这个神秘木马?F0j免费翻墙网
李建军:首先,这段日子都不要使用iMessage,因为很明显iMessage仍然有相当严重的保安漏洞,否则黑客不会这样成功植入木马。以严密保安著称的苹果这次真说得上是百密一疏。F0j免费翻墙网
另一方面,请同步更新iOS。而假如你发现iOS一直都更新失败,有可能其实你的手机早已被木马严重感染,如果你的手机仍然在保养期内,应尽早联络苹果公司,约时间前往苹果商店试图解决问题。相信经卡巴斯基公司这次报告后,苹果公司的技术人员都会有所准备,应付大批用户对木马造成的问题的查询。F0j免费翻墙网
问:卡巴斯基的调查最后是否找出了这款木马病毒背后的黑手?F0j免费翻墙网
李建军:目前连卡巴斯基能够得到针对这款病毒的研究资料都相当有限,而且,这次那些控制和指挥中心主机都相当狡猾,在卡巴斯基公司公布这堆主机的域名后,立即删除DNS纪录;而在它们的域名被公布之前,这些主机都是藏身在Cloudflare内。F0j免费翻墙网
我透过Domaintools来翻查相关域名的DNS纪录,这些域名之前有人用过,但在2013至2015年左右,因不明原因弃用,而在去年十月左右重新复活,在藏身Cloudflare之前,这些主机多数设在韩国、新加坡、澳大利亚等远东国家,因此,有理由相信这次攻击的集团,有可能同个别远东国家有关。但由于所使用的主机散落各国,要解开谜团,Cloudflare和亚马逊公司会否与卡巴斯基公司交换资料就成关键。此外这次神秘木马袭击,有可能需要各国执法部门介入,追踪相关人士用以支付主机费用的信用卡资料,顺藤摸瓜才能找到真凶。尽管如此,攻击者也有可能使用Cloudflare和AWS的免费试用服务来进行攻击任务——这样一来可让黑客节省攻击成本,而且是避过执法机构追查的方式之一。F0j免费翻墙网
问:这种木马病毒日后会否出现新变种?F0j免费翻墙网
李建军:虽然iOS大部分都十分安全,但iMessage的漏洞和臭虫之多,已经到了一个令人无法接受的地步,如果苹果公司不对iMessage的程式码作出彻底修正的话,类似木马的变种会源源不绝,而彻底防止同类型木马袭击的方法,那就是暂停使用iMessage,并且改用其他开源的点对点加密通讯软件,例如Signal。通讯软件与作业系统完整整合,所造成的问题可能比想像中多很多,未必再是合理的做法。F0j免费翻墙网
要等到苹果完全修正iMessage的问题,有可能都要等到苹果下一代甚至再下一代iOS推出,因此,用户很可能要关闭iMessage一段长时间,才可能防止同类木马的袭击。尤其目前尚不清楚主导该病毒的幕后黑手到底是个人、组织抑或国家行为,该木马又会否与中国当局有关,因此就更应要小心谨慎,不要随便启动iMessage的功能自招麻烦。F0j免费翻墙网
