这个案子挺讽刺的。一群议员专门调查政府滥用间谍软件,结果其中一个委员的手机,就被正在调查的间谍软件给黑了。

加拿大多伦多大学下属的数字权利实验室公民实验室(Citizen Lab)本周五发布报告,确认希腊记者、前欧洲议会议员斯特利奥斯·库洛格鲁(Stelios Kouloglou)的手机在2022年至2023年期间,被Pegasus间谍软件成功入侵。库洛格鲁当时正担任欧洲议会PEGA委员会的成员,这个委员会的核心任务,就是调查欧盟各国政府使用手机间谍软件的情况。公民实验室指出,这是该委员会成员首次被公开确认为间谍软件的受害者。

打开网易新闻 查看精彩图片
打开网易新闻 查看精彩图片

攻击发生的时间点很微妙。2022年10月那次入侵,恰好赶上委员会内部围绕调查报告展开激烈讨论的时期。调查间谍软件的人被同款间谍软件盯上,这显然不只是巧合那么简单。公民实验室的研究人员没有把这次攻击归因于某个具体国家,但他们发现了一个关键线索:攻击者所使用的、预先加载了Pegasus的电子邮箱地址,与早前一起针对全欧记者的大规模监控行动中所用的邮箱完全一致。同一攻击邮箱被重复使用,这暗示背后的政府客户很可能获得了NSO集团的授权,可以在欧洲多国境内利用其Pegasus工具进行侦查。不过,这名客户究竟是谁,目前尚不清楚。

对于这起事件,库洛格鲁本人直接用了reckless这个词来形容——他的手机被蓄意攻破,这种做法太过轻率鲁莽。另一位在任的欧洲议员措辞更为严厉,将这起黑客行为定性为对法治的直接攻击,并呼吁欧盟委员会采取实际行动,在整个27国集团范围内对间谍软件的使用施加严格限制。截至发稿前,欧盟委员会发言人没有回应TechCrunch的置评请求。NSO集团同样未就该报告做出回复。

那么,手机到底是怎么被攻破的?报告披露了技术细节。攻击者利用了苹果iPhone系统里一个已知的安全漏洞,通过一种零点击(zero-click)漏洞实现入侵。所谓零点击,就是整个过程无需你点击任何链接、不产生任何交互,间谍软件就能悄无声息地钻进去,开始往外偷数据。库洛格鲁在2022年10月被黑一次,2023年3月又至少遭遇两次攻击。虽然苹果当时已经发布了针对该漏洞的修复补丁,但他还没来得及更新安装。

被利用的具体入口,是iPhone里负责智能家居功能的HomeKit组件。这个程序早就存在那段有问题的旧代码,Pegasus顺着它摸进去后,在库洛格鲁完全不知情的情况下,捞走了手机里大量的私密信息,包括短信及其他通信记录、位置数据,还有手机里的照片。

这件事抛出了一个老问题,而且比以往都更尖锐。各国政府声称使用间谍软件是为了侦破严重犯罪,但当工具不断被用在记者、议员和批评者身上的时候,那条所谓合法使用的边界在哪里?PEGA委员会本来就承担着揭开真相的责任,其调查报告被外界高度期待。如今,针对委员会成员内部运作的高度聚焦式监控,让这份报告背后的角力更加耐人寻味。