研究人员发现,以色列NSO集团的客户合同里提到一项彩信指纹技术,可以无感知侦查全球任意智能手机的系统信息,可结合其间谍软件实施定向针对性植入;调查后研究员发现,NSO并未利用漏洞,而是滥用了彩信机制,并成功复现了这一攻击手法。通信运营商可通过配置使用户规避这一攻击。



2月22日消息,瑞典网络安全公司Enea的研究人员发现,以色列NSO集团提供了一种前所未知的技术,可以将其臭名昭著的“飞马”手机间谍软件工具,部署到全球范围内任意特定个人的移动设备上。


这名研究员在调查一份NSO集团转销商与加纳电信监管机构的合同条款时,发现了这一技术。


这份合同属于2019年WhatsApp与NSO集团诉讼的法庭公开文件的一部分,前者指控NSO集团利用WhatsApp漏洞,在全球范围内将“飞马”部署到记者、人权活动家、律师等人的设备上。


“飞马”的零点击设备识别


根据合同描述的“MMS指纹”,NSO客户只需发送一条多媒体短信(国内一般叫彩信,简称MMS)消息,即可获取目标的黑莓、安卓或iOS设备及其操作系统版本的详细信息。



合同指出:“不需要用户交互、参与或打开消息,就能获取设备指纹。”


Enea研究员Cathal McDaid在上周的一篇博文中表示,他决定调查上述文件,因为“MMS指纹”并非行业内常见的术语。


McDaid写道:“虽然我们必须考虑到,NSO集团可能只是‘虚构’或夸大其所宣称的能力(根据经验,监视公司经常吹嘘其能力),但是,这是一份合同而非广告,这表明它更有可能是真实的。”


彩信机制可被滥用采集指纹


通过调查,McDaid很快得出结论,NSO集团合同中提到的技术可能与彩信流程本身,而非任何特定操作系统的漏洞有关。


McDaid写道,该流程的第一步通常是发送者设备首次向发送者的多媒体短信中心(MMSC)提交彩信消息。然后,发送者的MMSC将该消息转发给接收者的MMSC。后者随即通知接收者设备有等待接收的彩信消息。最后,接收者设备从其MMSC收取消息。


该研究员继续写道,由于开发者引入彩信功能时,并非所有移动设备都兼容MMS服务,他们决定使用一种特殊类型的短信(称为“WSP推送”)向接收者设备通知接收者的MMSC中有待处理彩信消息。随后的收取请求实际上不是彩信,而是发送到通知中内容位置字段所列内容URL的一条HHTP GET请求。


McDaid写道,“有趣的是,这条HTTP GET请求包含了用户设备信息。”他总结说,这很可能是NSO集团获取目标设备信息的方式。



图:黄色部分为攻击者获取的设备系统信息


McDaid使用一家西欧电信运营商的部分样本SIM卡对他的理论进行测试。经过反复试验,他成功获取了测试设备的用户代理信息和HTTP头信息,这些信息描述了设备的能力。他得出结论,如使用这些信息,NSO集团的行动者可以利用移动操作系统中的特定漏洞,或者为目标设备定制“飞马”和其他恶意负载。


他指出,“这些信息还可以用来更有效地策划针对设备使用者的网络钓鱼活动。”


McDaid表示,他在过去几个月的调查中尚未发现有人利用这种技术。


参考资料:https://www.darkreading.com/application-security/nso-group-adds-mms-fingerprinting-zero-click-attack-spyware-arsenal