彩信指纹:以色列间谍软件可无感知侦查全球智能手机信息

X0_0X2024-02-23 14:33:24

研究人员发现,以色列NSO集团的客户合同里提到一项彩信指纹技术,可以无感知侦查全球任意智能手机的系统信息,可结合其间谍软件实施定向针对性植入;调查后研究员发现,NSO并未利用漏洞,而是滥用了彩信机制,并成功复现了这一攻击手法。通信运营商可通过配置使用户规避这一攻击。



2月22日消息,瑞典网络安全公司Enea的研究人员发现,以色列NSO集团提供了一种前所未知的技术,可以将其臭名昭著的“飞马”手机间谍软件工具,部署到全球范围内任意特定个人的移动设备上。


这名研究员在调查一份NSO集团转销商与加纳电信监管机构的合同条款时,发现了这一技术。


这份合同属于2019年WhatsApp与NSO集团诉讼的法庭公开文件的一部分,前者指控NSO集团利用WhatsApp漏洞,在全球范围内将“飞马”部署到记者、人权活动家、律师等人的设备上。


“飞马”的零点击设备识别


根据合同描述的“MMS指纹”,NSO客户只需发送一条多媒体短信(国内一般叫彩信,简称MMS)消息,即可获取目标的黑莓、安卓或iOS设备及其操作系统版本的详细信息。



合同指出:“不需要用户交互、参与或打开消息,就能获取设备指纹。”


Enea研究员Cathal McDaid在上周的一篇博文中表示,他决定调查上述文件,因为“MMS指纹”并非行业内常见的术语。


McDaid写道:“虽然我们必须考虑到,NSO集团可能只是‘虚构’或夸大其所宣称的能力(根据经验,监视公司经常吹嘘其能力),但是,这是一份合同而非广告,这表明它更有可能是真实的。”


彩信机制可被滥用采集指纹


通过调查,McDaid很快得出结论,NSO集团合同中提到的技术可能与彩信流程本身,而非任何特定操作系统的漏洞有关。


McDaid写道,该流程的第一步通常是发送者设备首次向发送者的多媒体短信中心(MMSC)提交彩信消息。然后,发送者的MMSC将该消息转发给接收者的MMSC。后者随即通知接收者设备有等待接收的彩信消息。最后,接收者设备从其MMSC收取消息。


该研究员继续写道,由于开发者引入彩信功能时,并非所有移动设备都兼容MMS服务,他们决定使用一种特殊类型的短信(称为“WSP推送”)向接收者设备通知接收者的MMSC中有待处理彩信消息。随后的收取请求实际上不是彩信,而是发送到通知中内容位置字段所列内容URL的一条HHTP GET请求。


McDaid写道,“有趣的是,这条HTTP GET请求包含了用户设备信息。”他总结说,这很可能是NSO集团获取目标设备信息的方式。



图:黄色部分为攻击者获取的设备系统信息


McDaid使用一家西欧电信运营商的部分样本SIM卡对他的理论进行测试。经过反复试验,他成功获取了测试设备的用户代理信息和HTTP头信息,这些信息描述了设备的能力。他得出结论,如使用这些信息,NSO集团的行动者可以利用移动操作系统中的特定漏洞,或者为目标设备定制“飞马”和其他恶意负载。


他指出,“这些信息还可以用来更有效地策划针对设备使用者的网络钓鱼活动。”


McDaid表示,他在过去几个月的调查中尚未发现有人利用这种技术。


参考资料:https://www.darkreading.com/application-security/nso-group-adds-mms-fingerprinting-zero-click-attack-spyware-arsenal

软件指纹
本作品采用《CC 协议》,转载必须注明作者和本文链接
用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期到的警告天数:密码过期之后的宽限天数:账号失效时间:保留。查看下pid所对应的进程文件路径,
在信息安全测试领域,基于机器学习的应用系统深度指纹识别技术对应用系统进行漏洞检测时,可快速获取应用系统指纹信息,并且能够根据系统深度指纹信息进行精确的自适应漏洞检测。通过研究面向 http 协议的信息收集爬虫技术、基于字符串匹配的识别技术和目标安全缺陷利用技术,基于目标指纹特征提出并搭建了朴素贝叶斯模型,实现了基于机器学习的应用系统指纹识别技术,识别目标应用系统信息,发现缺陷和自适应漏洞检测。最后
分目录站点 •形如: www.xxx.com www.xxx.com/bbs www.xxx.com/old •渗透思路:网站可能有多个cms或框架组成,那么对于渗透而言,相当于渗透目标是多个(一个cms一个思路) 分端口站点 •形如:www.zzz.com www.zzz.com:8080 www.zzz.com:8888 •渗透思路:网站可能有多个端口或框架组成,那么对于渗透而言,相当
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。FastAdmin介绍FastAdmin是基于ThinkPHP5和Bootstrap的极速后台开发框架,基于ThinkPHP行为功能实现的插件机制,拥有丰富的插件和扩展,可直接在线安装卸载。基于完善的Auth权限控制管理、无限父子级权限分组、可自由分配子级权限、一个管理员可同时属于多个组别。测试过程在某次HVV的打点过程中,发现某资产为FastAdmin搭建。下图为FastAdmin的报错页面,根据经验可判断该网站为FastAdmin搭建。
美国有线电视新闻网(CNN)3月13日报道称,经过近一个月调查发现,俄罗斯操纵网络舆论的“巨魔军队”继2016年以来继续利用网络假消息干扰本届美国大选。该机构长期从事网络虚假消息活动,秘密设置大量伪造的 Twitter、Facebook以及其他社交媒体账户,以蛊惑西方民众。2016年,俄罗斯的“巨魔工厂”位于圣彼得堡的一个办公大楼,而今年,则将该工厂移到了地处西非的加纳和尼日利亚,显然,这次的手法
据外媒报道,根据文件和两名爆料者的说法,FBI 及美国 18000 个执法机构所用的指纹分析软件都含有由跟克里姆林宫关系密切的俄罗斯公司开发的代码。这引发了人们的担忧,他们担心俄罗斯黑客将会获得数百万名美国人的敏感生物信息甚至可能还会危机到更加广泛的国家安全问题和执法部门计算机系统。 据爆料者透露,被植入俄罗斯代码的指纹分析软件由一家法国公司开发,他们此前都曾为这家公司工作过。两名爆料者称,这家公
通过硬件事件这一行为数据,我们获得精确的底层行为数据来构建设备指纹。随后,他们基于单位时间内CPU使用率的均值来训练机器学习模型作为分类器,用以检测设备的异常。大体上我们可以将评估方法分为基于规则、基于统计、基于知识、基于机器学习这四种方式。基于机器学习从设备指纹的应用场景来看,不论是对设备种类、型号的区分,抑或设备运行状态的判断,实质上都是分类问题。
一名疑似为 HoneyMyte 的 APT 攻击者修改了南亚某国传播服务器上的指纹扫描仪软件安装程序包。APT 修改了一个配置文件,并将一个带有 .NET 版本的 PlugX 注入器的 DLL 添加到安装程序包中。在安装时,即使没有网络连接,.NET 注入器也会解密 PlugX 后门载荷并将其注入新的 svchost 系统进程,并尝试向 C2 发送信标。南亚某个国家的中央政府员工必须使用此生物识别
据观察,由朝鲜政府发起的高级持续威胁 (APT) 组织 Lazarus Group 发起了两次独立的供应链攻击活动,以此作为在企业网络中立足并针对广泛下游实体的手段。
X0_0X
暂无描述