安全厂商卡巴斯基公布一项检测工具,协助企业或个人用户检测本月稍早揭露的iPhone新间谍软体。
本月初卡巴斯基揭露公司员工遭到不知名组织通过iMessage传送恶意档案,旨在于手机植入之前未知的间谍软件。 卡巴斯基将这桩攻击命名为Operation Triangulation。 一旦间谍软件被植入用户iPhone,即会开始搜集手机麦克风录音、iMessage的相片、定位信息及其他资料送到外部服务器。
基于苹果的安全设计,iOS只能以备份型式加以分析。 卡巴斯基一开始是以国际特赦组织开发的Mobile Verification Toolkit(MVT)检测到该间谍软件,但以MVT检查iOS备份的过程相当耗时,且需要大量人工搜索多种入侵指标。 为了将这个过程自动化,卡巴斯基进一步推出工具,名为triangle_check,让用户可在电脑如macOS、Windows与Linux下扫瞄iOS备份。 它可自动搜索恶意程序踪迹,检查 iOS 装置是否遭到感染。
在Windows和Linux上,triangle_check工具需要二进制程序下载,而在macOS上则可以Python套件安装。 在安装这些工具前,用户必须先制作 iOS 设备备份。 卡巴斯基并提供了安装使用指引。
等安装好开始执行,一旦工具检测到间谍软体,会显示DETECTED信息,无法判定是否为间谍软体则显示SUSPICION。 完全没有检测到入侵指标时则会显示No traces of compromise were identified。
这只恶意程序相当狡猾,iPhone被感染时用户也很难察觉,仅有几个不太显著的入侵指标,且还有诸多疑点未明。 卡巴斯基鼓励安全研究人员一起来研究这只新的间谍软件。 该公司追查到最早感染时间为2019年,但到目前攻击仍然在进行中,最新感染的iOS版本为15.7版。
