Google關注商業(yè)間諜軟件供應商����,披露兩大結合運用多個零時差漏洞與既有漏洞(N-day)的間諜活動��,這些極具針對性的活動鎖定Android�����、iOS和Chrome熱門平臺�,Google提到,根據(jù)他們的調(diào)查���,商業(yè)監(jiān)控供應商現(xiàn)在技術力提升�����,也擁有過去只有政府層級才能開發(fā)和操作漏洞的能力��。
Google關注商業(yè)間諜軟件供應商���,披露兩大結合運用多個零時差漏洞與既有漏洞(N-day)的間諜活動�,這些極具針對性的活動鎖定Android�、iOS和Chrome熱門平臺,Google提到�����,根據(jù)他們的調(diào)查�,商業(yè)監(jiān)控供應商現(xiàn)在技術力提升,也擁有過去只有政府層級才能開發(fā)和操作漏洞的能力����。
第一個間諜活動被稱為“Your missed parcel”,Google發(fā)現(xiàn)通過使用Android和iOS的零時差漏洞利用鏈�,惡意攻擊者可以發(fā)送短信息給位于意大利、馬來西亞和哈薩克斯坦的用戶�����,消息內(nèi)的連接會將用戶導向惡意頁面��,之后再重定向到諸如貨運或是物流公司的合法頁面���。
在iOS上����,惡意頁面使用WebKit遠程程序代碼執(zhí)行漏洞CVE-2022-42856���,以及CVE-2021-30900沙盒逃逸和特權提升漏洞CVE-2021-30900���,在iOS上安裝惡意Stager打開后門,回傳設備的GPS位置�,并且讓攻擊者可以于設備安裝惡意程序。
而Android則需要用到Arm GPU手機上Chrome 106之前版本的漏洞���,用到的漏洞包括類型混淆漏洞CVE-2022-3723���、Chrome GPU旁路漏洞CVE-2022-4135、Arm特權提升漏洞CVE-2022-38181����,而對三星用戶,網(wǎng)站還會通過意圖重定向功能(Intent Redirection)從三星網(wǎng)際網(wǎng)絡瀏覽器打開Chrome�����。用戶更新到Chrome 108便能免于受到攻擊���。
第二個間諜活動����,則是針對三星網(wǎng)際網(wǎng)絡瀏覽器的漏洞入侵鏈,惡意攻擊者同樣是通過短信發(fā)送一次性連接�����,到位于阿聯(lián)酋的設備��,將用戶導向到一個頁面���,該頁面使用商業(yè)間諜軟件供應商Variston所開發(fā)的Heliconia框架�����,而漏洞利用鏈使用了一個以C++開發(fā)����,且功能齊全的Android間諜軟件組件�,包括可以解密和截取各種聊天和瀏覽器應用程序資料的函數(shù)庫,進而關注受害者的社交和網(wǎng)頁瀏覽行為��。
這個活動主要影響使用Chromium 102版本的三星瀏覽器,惡意攻擊者總共使用了6個漏洞���,包括Chrome的類型混淆漏洞CVE-2022-4262���、沙盒逃逸漏洞CVE-2022-3038����,以及Mali GPU核心驅動程序授給攻擊者訪問系統(tǒng)權限的CVE-2022-22706漏洞,還有提供攻擊者核心讀寫訪問權限的Linux核心聲音子系統(tǒng)漏洞CVE-2023-0266���,惡意攻擊者也利用了多個核心資訊泄漏漏洞���,包括CVE-2022-22706和CVE-2023-0266。
每一個漏洞軟件原廠皆已修復���,但可能因為修復時間差����,或是因為版本更新節(jié)奏的關系�,供應商并沒有及時修補程序,使得攻擊者有機可乘�。通過結合零時差漏洞和既有漏洞,商業(yè)間諜軟件供應商能夠開發(fā)關注用戶的工具,Google提到�����,這些供應商向政府出售漏洞技術和監(jiān)控功能����,使政府能夠關注異議份子、記者��、人權工作者和反對黨政客��。
閩公網(wǎng)安備 35010202001226號
