問:俄羅斯反病毒軟件開發公司卡巴斯基最近發現了一款專門針對iMessage的神秘木馬病毒,為了追尋該病毒的幕後黑手,卡巴斯基更特別設立了名為三角測量行動的專頁。整件事來龍去脈如何?該木馬病毒又有何特性?
李建軍:卡巴斯基公司進行例行內部保安檢查時,發現有不少iOS設備遭到不明木馬感染,隨後卡巴斯基利用國際特赦組織提供的工具,檢測木馬確實存在,由於這個木馬十分狡猾,在成功入侵後,就會刪除原來用作攻擊之用的檔案和信息,因此卡巴斯基要透過分析部分iOS設備的舊備份檔案內容,才知道這木馬部分運作方式。
這個暫時未有正式名字的木馬,透過iMessage將感染用的木馬檔案送到目標對象的智能手機後,手機就會立即被感染,不用作進一步動作。感染檔案成功入侵後,就會自行與遙距指揮及控制的主機聯絡,偷龍轉鳳,換上另一個感染檔案,並將原有的信息、感染用檔案以及通訊紀錄刪除於無形,之後才會正式開始對被感染手機大肆偷取資料,同時阻止手機更新作業系統堵塞漏洞。這款木馬能夠感染iOS 15.7版的手機,但暫未有iOS 16被成功感染的報告。
問:iOS用戶有甚麼方法可以預防這個神秘木馬?
李建軍:首先,這段日子都不要使用iMessage,因為很明顯iMessage仍然有相當嚴重的保安漏洞,否則黑客不會這樣成功植入木馬。以嚴密保安著稱的蘋果這次真說得上是百密一疏。
另一方面,請同步更新iOS。而假如你發現iOS一直都更新失敗,有可能其實你的手機早已被木馬嚴重感染,如果你的手機仍然在保養期內,應儘早聯絡蘋果公司,約時間前往蘋果商店試圖解決問題。相信經卡巴斯基公司這次報告後,蘋果公司的技術人員都會有所準備,應付大批用戶對木馬造成的問題的查詢。
問:卡巴斯基的調查最後是否找出了這款木馬病毒背後的黑手?
李建軍:目前連卡巴斯基能夠得到針對這款病毒的研究資料都相當有限,而且,這次那些控制和指揮中心主機都相當狡猾,在卡巴斯基公司公布這堆主機的域名後,立即刪除DNS紀錄;而在它們的域名被公布之前,這些主機都是藏身在Cloudflare內。
我透過Domaintools來翻查相關域名的DNS紀錄,這些域名之前有人用過,但在2013至2015年左右,因不明原因棄用,而在去年十月左右重新復活,在藏身Cloudflare之前,這些主機多數設在韓國、新加坡、澳大利亞等遠東國家,因此,有理由相信這次攻擊的集團,有可能同個別遠東國家有關。但由於所使用的主機散落各國,要解開謎團,Cloudflare和亞馬遜公司會否與卡巴斯基公司交換資料就成關鍵。此外這次神秘木馬襲擊,有可能需要各國執法部門介入,追蹤相關人士用以支付主機費用的信用卡資料,順藤摸瓜才能找到真兇。儘管如此,攻擊者也有可能使用Cloudflare和AWS的免費試用服務來進行攻擊任務——這樣一來可讓黑客節省攻擊成本,而且是避過執法機構追查的方式之一。
問:這種木馬病毒日後會否出現新變種?
李建軍:雖然iOS大部分都十分安全,但iMessage的漏洞和臭蟲之多,已經到了一個令人無法接受的地步,如果蘋果公司不對iMessage的程式碼作出徹底修正的話,類似木馬的變種會源源不絕,而徹底防止同類型木馬襲擊的方法,那就是暫停使用iMessage,並且改用其他開源的點對點加密通訊軟件,例如Signal。通訊軟件與作業系統完整整合,所造成的問題可能比想像中多很多,未必再是合理的做法。
要等到蘋果完全修正iMessage的問題,有可能都要等到蘋果下一代甚至再下一代iOS推出,因此,用戶很可能要關閉iMessage一段長時間,才可能防止同類木馬的襲擊。尤其目前尚不清楚主導該病毒的幕後黑手到底是個人、組織抑或國家行為,該木馬又會否與中國當局有關,因此就更應要小心謹慎,不要隨便啟動iMessage的功能自招麻煩。