Google披露間諜軟件供應(yīng)商濫用熱門平臺(tái)零時(shí)差和既有漏洞

Google關(guān)注商業(yè)間諜軟件供應(yīng)商，披露兩大結(jié)合運(yùn)用多個(gè)零時(shí)差漏洞與既有漏洞（N-day）的間諜活動(dòng)，這些極具針對性的活動(dòng)鎖定Android、iOS和Chrome熱門平臺(tái)，Google提到，根據(jù)他們的調(diào)查，商業(yè)監(jiān)控供應(yīng)商現(xiàn)在技術(shù)力提升，也擁有過去只有政府層級才能開發(fā)和操作漏洞的能力。

第一個(gè)間諜活動(dòng)被稱為“Your missed parcel”，Google發(fā)現(xiàn)通過使用Android和iOS的零時(shí)差漏洞利用鏈，惡意攻擊者可以發(fā)送短信息給位于意大利、馬來西亞和哈薩克斯坦的用戶，消息內(nèi)的連接會(huì)將用戶導(dǎo)向惡意頁面，之后再重定向到諸如貨運(yùn)或是物流公司的合法頁面。

在iOS上，惡意頁面使用WebKit遠(yuǎn)程程序代碼執(zhí)行漏洞CVE-2022-42856，以及CVE-2021-30900沙盒逃逸和特權(quán)提升漏洞CVE-2021-30900，在iOS上安裝惡意Stager打開后門，回傳設(shè)備的GPS位置，并且讓攻擊者可以于設(shè)備安裝惡意程序。

而Android則需要用到Arm GPU手機(jī)上Chrome 106之前版本的漏洞，用到的漏洞包括類型混淆漏洞CVE-2022-3723、Chrome GPU旁路漏洞CVE-2022-4135、Arm特權(quán)提升漏洞CVE-2022-38181，而對三星用戶，網(wǎng)站還會(huì)通過意圖重定向功能（Intent Redirection）從三星網(wǎng)際網(wǎng)絡(luò)瀏覽器打開Chrome。用戶更新到Chrome 108便能免于受到攻擊。

第二個(gè)間諜活動(dòng)，則是針對三星網(wǎng)際網(wǎng)絡(luò)瀏覽器的漏洞入侵鏈，惡意攻擊者同樣是通過短信發(fā)送一次性連接，到位于阿聯(lián)酋的設(shè)備，將用戶導(dǎo)向到一個(gè)頁面，該頁面使用商業(yè)間諜軟件供應(yīng)商Variston所開發(fā)的Heliconia框架，而漏洞利用鏈?zhǔn)褂昧艘粋€(gè)以C++開發(fā)，且功能齊全的Android間諜軟件組件，包括可以解密和截取各種聊天和瀏覽器應(yīng)用程序資料的函數(shù)庫，進(jìn)而關(guān)注受害者的社交和網(wǎng)頁瀏覽行為。

這個(gè)活動(dòng)主要影響使用Chromium 102版本的三星瀏覽器，惡意攻擊者總共使用了6個(gè)漏洞，包括Chrome的類型混淆漏洞CVE-2022-4262、沙盒逃逸漏洞CVE-2022-3038，以及Mali GPU核心驅(qū)動(dòng)程序授給攻擊者訪問系統(tǒng)權(quán)限的CVE-2022-22706漏洞，還有提供攻擊者核心讀寫訪問權(quán)限的Linux核心聲音子系統(tǒng)漏洞CVE-2023-0266，惡意攻擊者也利用了多個(gè)核心資訊泄漏漏洞，包括CVE-2022-22706和CVE-2023-0266。

每一個(gè)漏洞軟件原廠皆已修復(fù)，但可能因?yàn)樾迯?fù)時(shí)間差，或是因?yàn)榘姹靖鹿?jié)奏的關(guān)系，供應(yīng)商并沒有及時(shí)修補(bǔ)程序，使得攻擊者有機(jī)可乘。通過結(jié)合零時(shí)差漏洞和既有漏洞，商業(yè)間諜軟件供應(yīng)商能夠開發(fā)關(guān)注用戶的工具，Google提到，這些供應(yīng)商向政府出售漏洞技術(shù)和監(jiān)控功能，使政府能夠關(guān)注異議份子、記者、人權(quán)工作者和反對黨政客。