Google揭露間諜軟體供應商濫用熱門平臺零時差和既有漏洞

2023-07-21

Google追蹤商業間諜軟體供應商，揭露兩大結合運用多個零時差漏洞與既有漏洞（N-day）的間諜活動，這些極具針對性的活動鎖定Android、iOS和Chrome熱門平臺，Google提到，根據他們的調查，商業監控供應商現在技術力提升，也擁有過去只有政府層級才能開發和操作漏洞的能力。

第一個間諜活動被稱為「Your missed parcel」，Google發現透過使用Android和iOS的零時差漏洞利用鏈，惡意攻擊者可以發送短訊息給位於義大利、馬來西亞和哈薩克的用戶，訊息內的連結會將用戶導向惡意頁面，之後再重新導向到諸如貨運或是物流公司的合法頁面。

在iOS上，惡意頁面使用WebKit遠端程式碼執行漏洞CVE-2022-42856，以及沙盒逃逸和特權提升漏洞CVE-2021-30900，在iOS上安裝惡意Stager打開後門，回傳裝置的GPS位置，並且讓攻擊者可以於裝置安裝惡意程式。

而Android則需要用到Arm GPU手機上Chrome 106之前版本的漏洞，用到的漏洞包括類型混淆漏洞CVE-2022-3723、Chrome GPU旁路漏洞CVE-2022-4135、Arm特權提升漏洞CVE-2022-38181，而對三星用戶，網站還會透過意圖重新導向功能（Intent Redirection）從三星網際網路瀏覽器打開Chrome。用戶更新到Chrome 108便能免於受到攻擊。

第二個間諜活動，則是針對三星網際網路瀏覽器的漏洞入侵鏈，惡意攻擊者同樣是透過短訊發送一次性連結，到位於阿聯酋的裝置，將用戶導向到一個頁面，該頁面使用商業間諜軟體供應商Variston所開發的Heliconia框架，而漏洞利用鏈使用了一個以C++開發，且功能齊全的Android間諜軟體套件，包括可以解密和擷取各種聊天和瀏覽器應用程式資料的函式庫，進而追蹤受害者的社交和網頁瀏覽行為。

這個活動主要影響使用Chromium 102版本的三星瀏覽器，惡意攻擊者總共使用了6個漏洞，包括Chrome的類型混淆漏洞CVE-2022-4262、沙盒逃逸漏洞CVE-2022-3038，以及Mali GPU核心驅動程式授予攻擊者存取系統權限的CVE-2022-22706漏洞，還有提供攻擊者核心讀寫存取權限的Linux核心聲音子系統漏洞CVE-2023-0266，惡意攻擊者也利用了多個核心資訊洩漏漏洞，包括CVE-2022-22706和CVE-2023-0266。

每一個漏洞軟體原廠皆已修復，但可能因為修復時間差，或是因為版本更新節奏的關係，供應商並沒有及時修補程式，使得攻擊者有機可乘。透過結合零時差漏洞和既有漏洞，商業間諜軟體供應商能夠開發追蹤用戶的工具，Google提到，這些供應商向政府出售漏洞技術和監控功能，使政府能夠追蹤異議份子、記者、人權工作者和反對黨政客。

（相關資訊來自iThome）