谷歌：政府使用的商业间谍软件充斥着零日漏洞

谷歌威胁分析小组 (TAG) 的研究人员发现了两个独立的、针对性很强的活动，它们使用各种未打补丁的零日攻击来针对 iPhone 和 Android 智能手机的用户进行部署 间谍.

发现——揭示于 博客文章 研究人员表示，29 月 30 日 — 是 Google TAG 对商业间谍软件供应商进行主动跟踪的结果，其中 XNUMX 多家目前在雷达屏幕上。 研究人员写道，这些供应商向国家支持的威胁行为者出售漏洞利用或监视能力，从而“使危险的黑客工具得以扩散，武装无法在内部开发这些能力的政府”。 他们指出，这些通常被用来以可能危及生命的方式针对持不同政见者、记者、人权工作者和反对党政客。

根据大多数国家或国际法律，监视技术的使用目前是合法的，并且政府滥用这些法律和技术来针对不符合其议程的个人。 然而，由于政府滥用职权的行为被揭露，这种滥用行为受到了国际审查 NSO Group 的 Pegasus 移动间谍软件 针对 iPhone 用户， 监管机构和供应商的一致好评 已 镇压 关于商业间谍软件的生产和使用。

事实上，拜登政府在 28 月 XNUMX 日发布了一项行政命令，但并未完全禁止间谍软件，但 限制使用商业监控工具 由联邦政府。

谷歌本周的调查结果表明，这些努力几乎没有阻止商业间谍软件的发展，并“强调了商业监控供应商在多大程度上扩大了以往只被具有技术专长的政府用来开发和实施漏洞利用的能力，”TAG 研究人员写在帖子里。

具体来说，研究人员发现了他们所描述的两个针对移动设备上的 Android、iOS 和 Chrome 用户的“不同、有限和高度针对性”的活动。 两者都使用零日漏洞利用和 n 日漏洞利用。 研究人员表示，关于后者，这些活动特别利用了供应商发布漏洞修复程序与硬件制造商实际使用这些补丁更新最终用户设备之间的时间段，从而为未打补丁的平台创建漏洞。

根据 TAG 的说法，这表明那些创建漏洞的人正在密切关注他们可以为邪恶目的利用的漏洞，并且可能串通以最大限度地利用它们来破坏目标设备。 研究人员在帖子中写道，这些活动还表明监控软件供应商共享漏洞利用和技术，以促进危险黑客工具的扩散。

iOS/Android 间谍软件活动

研究人员概述的第一个活动是在 XNUMX 月发现的，它利用了 iOS 中的两个漏洞和 Android 中的三个漏洞，每个漏洞至少包括一个零日漏洞。

研究人员发现初始访问尝试会影响通过以下方式传送的 Android 和 iOS 设备 通过 SMS 发送的 bit.ly 链接 他们说，面向位于意大利、马来西亚和哈萨克斯坦的用户。 这些链接将访问者重定向到托管 Android 或 iOS 漏洞的页面，然后将他们重定向到合法网站——“例如跟踪意大利货运和物流公司 BRT 的货运页面，或一个受欢迎的马来西亚新闻网站，”研究人员在帖子。

iOS 漏洞利用链针对的是 15.1 之前的版本，并包含一个针对 WebKit 远程代码执行 (RCE) 漏洞的漏洞，被跟踪为 CVE-2022-42856， 但在利用时是零日。 它涉及 JIT 编译器中的类型混淆问题，该漏洞使用了 PAC 绕过技术 Apple 于 2022 年 XNUMX 月修复. 该攻击还利用了 AGXAccelerator 中的沙盒逃逸和特权升级漏洞，被追踪为 CVE-2021-30900，这是 Apple 在 iOS 15.1 中修复的。

研究人员表示，iOS 活动的最终有效负载是一个简单的 stager，它可以回测设备的 GPS 位置，还允许攻击者在受影响的手机上安装 .IPA 文件（iOS 应用程序存档）。 该文件可用于窃取信息。

研究人员表示，该活动中的 Android 漏洞利用链针对的是使用运行 106 之前 Chrome 版本的 ARM GPU 设备的用户。 三个漏洞被利用： CVE-2022-3723，Chrome 中的一个类型混淆漏洞 去年十月固定r 在版本 107.0.5304.87 中， CVE-2022-4135，一个 Chrome GPU 沙箱绕过只影响 Android，在 XNUMX 月被利用和修复时是一个零日漏洞，以及 CVE-2022-38181，以 ARM 修复的特权升级错误 去年八月。

攻击 ARM 和 CVE-2022-38181 的意义尤其在于，当最初发布针对此漏洞的修复程序时，包括 Pixel、三星、小米和 Oppo 在内的几家供应商并未包含该补丁程序， 给攻击者几个月的时间 研究人员说，可以自由利用这个漏洞。

三星浏览器网络间谍活动

谷歌 TAG 研究人员在 102 月发现了第二个活动，其中包括一个完整的利用链，使用零日和 n 日来针对最新版本的三星互联网浏览器。 研究人员表示，该浏览器在 Chromium XNUMX 上运行，尚未更新以包含最新的缓解措施，这将需要攻击者做额外的工作来执行漏洞利用。

研究人员表示，攻击者通过 SMS 向位于阿拉伯联合酋长国 (UAE) 的设备发送一次性链接，从而传播漏洞。 该链接将用户引导至与 葫芦框架 他们补充说，由商业间谍软件供应商 Variston 开发。

研究人员写道，在这种情况下，漏洞利用的有效载荷是一个基于 C++ 的“功能齐全的 Android 间谍软件套件”，其中包括用于解密和捕获来自各种聊天和浏览器应用程序的数据的库。 他们怀疑涉案人员可能是 Variston 的客户、合作伙伴或其他关系密切的附属公司。

链中的漏洞被利用 CVE-2022-4262，Chrome 中的一个类型混淆漏洞，在利用时是零日漏洞， CVE-2022-3038，105 年 2022 月在 XNUMX 版中修复了 Chrome 中的沙箱逃逸， CVE-2022-22706, 一个漏洞 由 ARM 修复的 Mali GPU 内核驱动程序 2022 年 XNUMX 月，以及 CVE-2023-0266，Linux 内核声音子系统中的一个竞争条件漏洞，提供内核读写访问，在利用时是零日漏洞。

研究人员写道，“在利用 CVE-2022-22706 和 CVE-2023-0266 时，漏洞利用链还利用了多个内核信息泄漏零日”，谷歌向 ARM 和三星报告了这一点。

限制间谍软件和保护移动用户

TAG 研究人员提供了一份妥协指标 (IoC) 列表，以帮助设备用户了解他们是否成为攻击活动的目标。 他们还强调了供应商和用户在发现漏洞和/或漏洞利用后尽快使用最新补丁更新他们的移动设备的重要性。

“这里的一个重要收获是在完全更新的设备上使用完全更新的软件，”谷歌 TAG 研究人员在回答 Dark Reading 提出的问题时说。 “在这种情况下，所描述的任何漏洞利用链都不会奏效。”

• SEO 支持的内容和 PR 分发。 今天得到放大。
• 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
• Sumber: https://www.darkreading.com/attacks-breaches/google-spyware-governments-zero-day-exploits