WhatsApp被以色列NSO集团攻陷背后的深层故事

释放双眼,带上耳机,听听看~!


说到社交媒体,我们用微信微博,老外用WhatsApp和Facebook,几乎成了标配。

而WhatsApp目前属于Facebook旗下,可以说是真正做到了超越主子的存在,与国内情况类似。

这2款软件的用户几乎遍布世界各国,其中Facebook有13亿人使用,WhatsApp有15亿人使用。

Facebook就是基本媒体的社交,用户间互动较少。

但WhatsApp是国外非常流行的交流软件,它可以实现跨平台的通信需求。不同的手机系统一样可以互相收发信息、图片等等,形同国内的微信。唯一的不同就是WhatsApp只需一个手机号码就能沟通,不必添加对方为好友。

因此,国外用户使用WhatsApp的频率和我们使用微信是一样的。

而就是这样一个巨头,出事了。

WhatsApp的近日爆出一个漏洞。该漏洞让攻击者可以将以色列间谍软件注入手机。这些恶意代码由以色列公司NSO集团开发,可以通过iOS和Android版WhatsApp呼叫其他用户来传播。

报道称,黑客通过WhatsApp给用户打电话,即使用户没接听,黑客仍能在用户的手机上安装监控软件,来电记录会自动消失,用户无法察觉手机出现异样。并且监控软件能远程控制手机的摄像头和麦克风,并收集个人信息和位置数据。

——鲁迅《论“他妈的”》

想象一下,如果微信,可以通过漏洞注入恶意软件,全中国人会是什么样一个场景,你就该明白,这个事情为什么在国外一层叠起千层浪了。

而这起事件背后,不止这么简单。(来自黑鸟的恐吓)

娓娓道来Ing

在2018年,曾经有一名卡舒吉的沙特异见人士,在沙特驻土耳其领事馆遇害。

而在遇害过去3个月后,美国有线电视新闻网(CNN)披露了这起案件最新细节显示,卡舒吉遇害前已预感自己和好友阿卜杜勒阿齐兹(Omar Abdulaziz)的通讯被截获。


据CNN介绍,目前已知的400多条短信是卡舒吉和阿卜杜勒阿齐兹通过WhatsApp发送给对方的。

在一条短信中,卡舒吉写道:“(沙特王储的大规模)逮捕行动不合理,逻辑上对他也没好处。但暴政没有逻辑,他喜欢武力和压迫,也需要炫耀。他就像一个野兽版的‘吃豆小人’。他吃的越多,想要的就越多。要是哪天这种压迫降临到现在拥护他的那些人身上,我一点儿也不会惊讶。”

卡舒吉曾发过的短信。

在接受采访时,阿卜杜勒阿齐兹对CNN说:“(沙特方面)成功窃听了我的手机,这是导致卡舒吉被害的重要原因。”

卡舒吉和阿卜杜勒阿齐兹的通讯是如何引起沙特方面注意的?

这还要从后者的流亡经历说起。

现年27岁的阿卜杜勒阿齐兹在沙特时就是一名积极的异见人士。在沙特政府取消他的奖学金后,他在2014年流亡加拿大,并于2017年获得永居身份。

2017年10月至2018年8月间,卡舒吉和阿卜杜勒阿齐兹构想了一个电子军(electronic army)计划。

该计划的核心是,利用卡舒吉在政府内丰富的资源和阿卜杜勒阿齐兹在推特上的34万粉丝吸引沙特年轻人的注意,从而“穿沙特王室在社交媒体上的虚假宣传。

这场名为“网络蜜蜂”的网军计划包括创建一个门户网站以记录沙特侵犯人权的行为,制作用于手机传播的短片等。

阿卜杜勒阿齐兹在采访中说:“推特是他们唯一用来散布谣言的工具。我们遭到攻击,我们受到侮辱,我们多次受到威胁,我们决定采取行动。”

阿卜杜勒阿齐兹

也许这项计划中的两个关键因素可能引起了沙特当局的不满。

一是将外国的手机SIM卡发给国内持不同政见者,这样他们就能在不被追踪的情况下发推特; 

二是卡舒吉承诺为计划提供3万美元并争取更多资助。

2018年5月,两名来自沙特的信使找到了阿卜杜勒阿齐兹。

后者秘密录下了整段对话并交给了CNN。

在对话中,一名沙特信使说:“我们从萨勒曼那里给你带来一个消息。我们想让你知道,不需要通过官方部门或国家安全部门就能找到你。”

录音显示,两人告诉阿卜杜勒阿齐兹,王储本·萨勒曼在推特上关注着他,想给他一份工作。他们需要他进大使馆拿一些文件。

阿卜杜勒阿齐兹说,卡舒吉的建议大概救了他的命:“他告诉我不要去(大使馆),只在公共场所和他们见面。

2018年8月,阿卜杜勒阿齐兹对卡舒吉表示,沙特方面已经知晓了“网络蜜蜂”计划,在沙特进行了大规模抓捕和突击搜查。卡舒吉表示震惊,不明白沙特方面是如何知道计划的。在停顿了几分钟后他说:“愿主保佑我们。”

卡舒吉和好友的对话截图。

2018年10月2日,卡舒吉走进了沙特驻土耳其领事馆,至今下落不明。

2018年12月2日,阿卜杜勒阿齐兹的律师在特拉维夫将以色列国防部合同商、监控科技公司NSO集团告上法庭。在法庭文件中,阿卜杜勒阿齐兹声称,NSO一款名为“飞马”(Pegasus)的软件产品入侵了他的手机,帮助沙特监控他和卡舒吉的通讯,违反国际法。

CNN介绍说,“飞马”的工作原理很简单。


只要点击伪装短信上的链接就可以让黑客访问手机上全部信息。储存在手机上的数据、短信、电话甚至GPS定位数据都是可见的,黑客能看到某人在哪里,他在和谁说话,以及谈了什么。

在卡舒吉案中,多伦多“公民实验室”(Citizen Lab)的研究人员称,阿卜杜勒阿齐兹点击了一条伪装成包裹运输信息的链接。正是这条链接导致阿卜杜勒阿齐兹的手机感染了恶意软件。

“公民实验室”的研究人员还追踪了NSO “Pegasus”软件在45个国家的使用情况和这些国家的运营商以及“可能正在进行的监控行动”。

报告链接:

https://citizenlab.ca/2018/09/hide-and-seek-tracking-nso-groups-pegasus-spyware-to-operations-in-45-countries/

而NSO集团创始人兼CEO胡利奥(Shalev Hulio)不承认有此事,他表示,如果软件被不当使用或针对不当的目标,如记者或人权活动人士时,NSO可以断开客户的软件:“如果系统被滥用,并且我们意识到这一点的时候,我们可以立即将系统断开。这是技术上和法律上都能做到的事。”

胡利奥还透露,NSO因为“滥用”问题已经“永久”关闭了三个客户的系统:“我们所有的销售都是得到以色列国防部批准的。并且我们只销售给国家和执法警察系统,用于反恐和打击犯罪。”

你信么,反正我不信

说到这,是不是有种偏离主题的感觉。

然而并没有,因为本次被利用WhatsAPP漏洞植入NSO间谍软件进行窃听的目标,就是去年帮助阿卜杜勒阿齐兹打官司的律师。

这名律师声称,这似乎是有一个人秘密地试图找出他的人权工作细节。


这位不愿透露姓名的律师参与了针对以色列监控公司NSO集团提起的民事案件,该案件据报道,其复杂的Pegasus恶意软件被用于对抗墨西哥记者,以及一名居住在加拿大的着名沙特持不同政见者。

(墨西哥记者这件事之后可以详细一谈,同样黑暗的一B。)

律师称,

“几个月前,我开始在早上很奇怪的时间收到WhatsApp视频通话。我怀疑他们并联系了公民实验室,“律师说。

“他们开始自己的调查,他们也在与WhatsApp谈话,他们也注意到其他手机上的不规律活动。”

他补充说:“周末,西铁城实验室能够确定有人试图使用飞马软件来定位我的手机。公民实验室周日晚上告诉我,这是一次针对我的尝试

“有些政府使用过这项技术,如沙特阿拉伯,墨西哥和阿拉伯联合酋长国。但我不认为这是政府的企图。“

据了解,沙特阿拉伯在2017年获得了NSO技术许可,为该技术支付了5500万美元。据当地新闻报道,它的有效性使其被以色列国防部称为武器。

而在出事后,WhatsApp表示,它非常关注这种监控技术的利用,并认为人权活动家可能是目标。

并声称他们正在与人权组织合作,尽可能多地了解可能受到社区影响的人。

而黑鸟在翻了一下历史新闻后,发现在2018年6月有一个新闻值得关注。

2018年6月,国际特赦组织的一名工作人员收到恶意的WhatsApp消息,其中包含与沙特阿拉伯有关的诱饵内容和携带链接,国际特赦组织认为这些链接用于分发和部署复杂的移动间谍软件。通过我们后续调查的过程,我们发现一位驻扎在国外的沙特活动家也收到了类似的恶意信息。在对这些信息的分析中,国际特赦组织发现了与600多个域名网络的联系。这些域名不仅是可疑的,而且还与以前被确定为Pegasus的一部分的基础设施重叠,Pegasus是以色列监视供应商NSO集团出售的复杂的商业开发和间谍软件平台。

——鲁迅《不是我说的》

报告连接:

https://www.amnesty.org/en/latest/research/2018/08/amnesty-international-among-targets-of-nso-powered-campaign/

我不想编造阴谋论,各位看客自己理解一下背后攻击者是谁吧。

WhatsApp漏洞分析

Check Point 对WhatsApp的漏洞(CVE-2019-3568)进行了分析。

Facebook的顾问将其描述为SRTCP协议中的“缓冲区溢出漏洞”,因此可以通过补丁程序对Android的新版WhatsApp(v2.19.134,32位程序)的补丁部分进行分析,以寻找修复的代码部分。

很快安全研究员发现了SRTCP模块中的两个代码修复:

Size检查#1

修补的函数是一个主要的RTCP处理函数,添加的修复可以在它的开头找到。

添加的检查将验证长度参数,最大大小为1480字节(0x5C8)。

在调试会话期间,可以确认这是RTCP模块中的一个主要功能,甚至在应答WhatsApp语音呼叫之前就会调用它。

 

Size检查#2


在两个函数之间的流程中,可以看到在新添加的安全检查代码中(蓝色标记部分)使用了两次相同的长度变量:

  1. 验证数据包的长度字段不超过长度。

  2. 额外检查长度是一个<= 1480,就在内存复制之前。

可以看到,第二次检查包括一个新添加的日志字符串,具体说它是一个安全检查,以避免可能造成溢出的行为。

 

WhatsApp实现了他们自己的复杂SRTCP协议实现,它是用本机代码实现的,即C / C ++而不是Java。在对CVE-2019-3568的补丁分析期间,研究员发现了两个新添加的大小检查,这些检查明确地描述为在解析和处理内存中的网络数据包时对内存溢出的安全检查。

 

由于整个SRTCP模块非常大,可能会错过其他补丁。

此外,根据固定漏洞的性质和所提及模块的复杂性来判断,此模块中还可能存在其他未知的解析漏洞。

分析报告链接:

https://research.checkpoint.com/the-nso-whatsapp-vulnerability-this-is-how-it-happened/


因此可以确认,WhatsApp的应答语音模块,确实存在缓冲区溢出漏洞,并还可能存在其他漏洞。

总结

实际上看到这里,本鸟除了惊叹以色列NSO集团的技术雄厚,攻击思路骚之外,还能看见隐藏在这背后的网络战争,人权战争等这类不见得光的东西。

我们要做的,就是把我国家的网络安全搞好,避免复现WhatsApp惨案,虽然这起案件官方宣称仅影响几十个人,但问题是,在这期间,其完全有能力对这十五亿个用户进行攻击(可能理解会有偏差),可谓是上帝之眼了。

而以色列在这块人才培养,军民融合方面实际上完全可以去其糟粕,取其精华的,可以点击下图进行查阅文中。

最后,请继续扫码关注本公众号,事件结果和后续发展都会出现在本公众号,敬请期待。

更多情报和数据,请关注公众号

点击菜单栏,扫码加入知识星球(原价299,现价269

上期看点

感谢您的关注和转发

右下角

朕想要一个小心心

本文源自微信公众号:黑鸟

人已赞赏
安全工具

小众即时通信工具专项整治启动,关停“比邻”“聊聊”“密语”等9款违法App

2019-10-16 10:44:41

安全工具

Phpstudy官网于2016年被入侵,犯罪分子篡改软件并植入后门

2019-10-16 10:44:47

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索