200个iPhone用户以为自己装的是正版WhatsApp,结果手机里住进了一个24小时开麦的"房客"。Meta上周披露的这起攻击,把意大利监控产业的老底又掀了一层。
假App怎么骗过苹果的?
攻击者没走App Store,而是靠社工(社会工程学)让受害者手动安装。具体手法WhatsApp没细说,但这类操作通常离不开企业证书或TestFlight链接——苹果给开发者测试用的后门,成了间谍软件的特快通道。
中招用户主要集中在意大利。WhatsApp已经强制登出所有受影响账号,并建议彻底卸载后从官方渠道重装。
这次被点名的Asigint是SIO的意大利子公司。SIO官网明晃晃写着服务对象:执法机构、政府部门、警察和情报机关。他们的生意经是帮客户"监控嫌疑人、收集情报、执行秘密行动"。
同一家公司,半年内两次翻车
去年12月,TechCrunch刚曝光SIO的另一套操作:一批伪装成WhatsApp的安卓恶意应用,用Spyrtacus间谍软件家族窃取用户数据。那次的目标也是意大利境内的"未知受害者",下单的据说是某政府客户。
换句话说,SIO的业务模式很清晰——开发间谍工具,卖给政府,政府拿去盯自己人。区别只在于这次iOS版被抓了现行。
意大利在这行算是"产业集群"。Cy4Gate、eSurv、GR Sistemi、Negg、Raxir、RCS Lab,再加上SIO,把亚平宁半岛变成了欧洲监控软件的事实上总部。这些公司大多打着"合法执法工具"的旗号,实际流向却屡遭质疑。
WhatsApp的反击节奏
Meta对这类攻击的应对正在提速。去年初,WhatsApp警告约90名用户成为Paragon Solutions的Graphite间谍软件目标;去年8月,又通知近200名用户遭遇零日漏洞链攻击——那次黑客同时利用了iOS系统和WhatsApp本身的未公开漏洞。
两次事件间隔不到8个月,受影响用户规模相当,但攻击复杂度完全不同。从需要漏洞链的"高精尖",到靠假App钓鱼的"土法上马",监控产业的工具箱正在分层。
WhatsApp这次选择直接点名Asigint并采取法律行动,信号很明确:不再满足于被动清理,开始追上游供应商的责任。但问题是,这类公司通常注册在监管灰色地带,实际运营者和最终客户层层嵌套,官司能打多远还是未知数。
希腊判例:一个危险的参照系
一个多月前,希腊法院刚给Intellexa Consortium创始人Tal Dilian及其三名同伙定了罪,罪名是非法使用Predator间谍软件监视本国政客、商界领袖和记者。这起2022年曝光的"Predator门"(或称希腊水门事件),直接推动了欧洲议会启动正式调查。
但结局充满讽刺。希腊2022年通过的新法,在严格条件下合法化了政府使用监控工具;去年7月,希腊最高法院又宣判国家情报机构和政府官员无罪。Amnesty International的批评很直接:"希腊政府始终否认购买或使用Predator,透明度是问责的关键——受害者的人权救济同样关键。"
判决有了,真相依然模糊。这种模式会不会在意大利重演?
WhatsApp没有透露这次200名用户的具体身份。是反对派政客、调查记者、还是普通公民?监控软件的"合法使用"边界在哪里?当供应商可以同时在官网卖"执法工具"、在地下市场流散漏洞利用代码,平台的防御和政府的监管,哪个更慢半拍?
热门跟贴