查看原文
其他

商业监控软件厂商利用多个0day 攻击安卓和 iOS 设备

Ravie Lakshmanan 代码卫士 2023-04-08

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士


谷歌威胁分析团队 (TAG) 披露称,商业监控软件厂商利用去年修复的多个0day 漏洞攻击安卓和 iOS 设备。

研究人员表示,这两起攻击活动影响范围有限且针对性强,利用补丁发布和部署之间的时间差发动攻击。报告指出,“这些厂商可快速传播危险的黑客工具,使政府能够开发无法自研的能力。虽然按照国家或国际法律来说,使用监控技术可能是合法的,但这些技术通常被政府用于攻击异见人士、记者、人权工作人员以及反对党政客。”

在这两起攻击活动中,第一起发生在2022年11月,涉及通过SMS信息向位于意大利、马来西亚和哈萨克斯坦的用户发送短链接。点击这些URL后,用户会被重定向到托管着安卓或 iOS 利用的网页,之后他们才会被重定向至合法的新闻或运输追踪网站。iOS 利用链利用多个漏洞如CVE-2022-42856(当时是0day)、CVE-2021-30900和一个指针认证代码绕过,在可疑设备上安装 .IPA 文件。安卓利用链由CVE-2022-3723、CVE-2022-4135(当时是0day)和CVE-2022-38181 组成,用于传播未指定 payload。虽然影响 Mali GPU 内核驱动的提权漏洞CVE-2022-38181已由 Arm 公司在2022年8月修复,但目前尚不清楚攻击者是否在补丁发布前就已经拥有该漏洞的 exploit。另外值得注意的是,点击该链接并在三星 Internet 浏览器中打开的安卓用户会被通过意图重定向的方法重定向到 Chrome。

第二起攻击发生在2022年12月,由多个0day和nday 组成,用于攻击三星 Internet Browser 的最新版本,exploit 被以一次性链接的方式通过SMS发送到位于阿联酋的设备上。网页类似于西班牙监控软件公司 Variston IT所使用的网页,它最终植入能够从聊天应用和浏览器应用中收割数据的基于C++的恶意工具包中。这些遭利用的漏洞包括 CVE-2022-4262、CVE-2022-3038、CVE-2022-22706、CVE-2023-0266以及CVE-2023-26083。该利用链被指由 Variston 的客户或合作伙伴所使用。

这两起攻击活动和目标的性质情况尚不明朗。

就在几天前,美国政府发布行政令,限制联邦政府机构使用存在国家安全风险的商业监控软件。

研究人员指出,“这些攻击活动说明商业监控软件行业继续发展。即使规模更小的监控厂商也可以访问0day,厂商秘密囤积并利用 0day 为互联网产生严重风险。这些攻击活动还表明,监控厂商之间共享 exploit 和技术,使危险的黑客工具得以传播。”




代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

美国总统签署行政令,限制联邦政府机构使用商业监控软件

Chromium 漏洞可用于绕过安卓设备上的安全特性

监控软件厂商勾结互联网服务提供商感染iOS和安卓用户

还挖吗?0day 买卖商 Zerodium 更新价格表:安卓0day 价格首超 iOS,最高250万美元

强大的间谍软件 FinSpy 被指攻击缅甸 iOS 和安卓用户



原文链接

https://thehackernews.com/2023/03/spyware-vendors-caught-exploiting-zero.html


题图:Pixabay License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存