Pegasus堪称最危险的间谍软件，具有自毁功能

题记：2017年四月，E安全报道过 Pegasus 是世上最危险的手机间谍软件，今天再次报道，是因为加拿大多伦多大学公民实验室于9月18日发布了一则关于它的最新分析报告，该实验室一直在追踪该软件，于2016年就已经发布过相关报告，当时报告重点是该软件利用 iOS 多年存在的三个零日漏洞，逐步精巧的拿下并控制苹果手机的过程。

该软件由以色列一家名叫 NSO 的公司开发，该公司市值近10亿。这样一款处于灰色地带的非法间谍软件，精心包装在一个合法的公司壳内，该公司宣称该软件只卖给政府机构，用来打击恐怖分子和预防犯罪。如同当年的木马软件，强调自己的远控功能，是为了让网络管理员们更方便的远程管理一样。但是，间谍软件和木马软件最终一样泛滥成灾，从最初的美好愿望（合法化包装），到背离初衷，Pegasus已经染指全球45个国家。

作为一家商业化运营的公司，追求利润最大化毋庸置疑，销售更多拷贝可以让公司活得更好，所以单销售给政府机构用于反恐恐怕利润不够，走入巨大的民用市场才能让其财富呈几何级数增长。和 Pegasus 同样知名的还有 FlexiSPY，以及 FinSpy。这些间谍软件在民用市场中的玩法，其中有一个热门的应用场景，夫妻之间用于监控伴侣，软件可收集监听语音通话、短信、社交软件等等数据。灰色软件从最初的正义面目到歪楼，从光明坠入到无边黑暗，一切皆在意料之中。

加拿大多伦多大学公民实验室（Citizen Lab）当地时间9月18日发布报告披露，其通过扫描技术发现 Pegasus 手机间谍软件过去两年活跃于全球45个国家，包括美国、英国和加拿大。

图1 Pegasus间谍软件的范围和规模

Pegasus堪称最危险的间谍软件，具有自毁功能

Pegasus 被认为是目前为止最危险的一款间谍软件，由市值接近10亿美元的以色列公司 NSO Group 开发。这款间谍软件可隐藏在苹果或谷歌设备中，通过摄像头实施监控，通过麦克风监听对话，窃取文件，嗅探私密信息，以及执行其他间谍活动。

NSO 一直声称，其开发的工具旨在追踪恐怖分子、贩毒团伙等无恶不作的犯罪分子。然而，该公司并不像其宣称的那般光明磊落，因为它被抓包卷入了墨西哥和阿联酋的间谍丑闻当中。在两起案例中，Pegasus 因被用于监控活动人士、记者和律师而遭到民权组织的强烈抗议。就在上个月（2018年8月），福布斯报道称，专注阿联酋问题的研究员成为了 NSO 间谍软件的目标。最近，在以色列和塞浦路斯，针对 NSO Group 的诉讼公开了电子邮件，其似乎表明 NSO 曾入侵了阿拉伯某报社一名记者的电话。

图2 Pegasus收集的数据类型

Pegasus 感染受害者的前提是：诱骗用户点击链接，然后传送一系列 0Day 漏洞，并在手机上秘密安装 Pegasus。此后，这款间谍软件便可通过手机的摄像头和麦克风执行间谍活动，它还可窃取短信、密码、照片、联系人列表、日程事件等。Pegasus 的主要功能如下：

记录键盘；

捕获截图；

捕获实时音频；

通过短信远程控制这款恶意软件；

抓取来自常用应用程序（包括 WhatsApp、Skype、Facebook、Twitter、Viber 和 Kakao）的数据；

窃取浏览器历史；

窃取来自安卓 Native Email 客户端的电子邮件；

窃取联系人和短信等。

Pegasus足迹遍布45个国家，或上百个国家

移动安全公司 Lookout 无法证实公民实验室确定的这45个国家，但表示它也在追踪 NSO，并检测到 Pegasus 感染国家超过“三位数”，这意味着超过100个。

公民实验室的研究人员在45个国家发现 Pegasus 的感染实例，这些国家包括阿尔及利亚、巴林、孟加拉国、巴西、加拿大、科特迪瓦、埃及、法国、希腊、印度、伊拉克、以色列、约旦、哈萨克斯坦、肯尼亚、科威特、吉尔吉斯斯坦、拉脱维亚、黎巴嫩、利比亚、墨西哥、摩洛哥、荷兰、阿曼、巴基斯坦、巴勒斯坦、波兰、卡塔尔、卢旺达、沙特阿拉伯、新加坡、南非、瑞士、塔吉克斯坦、泰国、多哥、突尼斯、土耳其、阿联酋、乌干达、英国、美国、乌兹别克斯坦、也门和赞比亚。

图3 Pegasus世界分布概览

对于公民实验室的调查结果，NSO 的发言人在一份声明中表示，报告中所列的许多国家都不在 NSO 的业务运营范围内。

间谍软件无孔不入

公民实验室的研究员比尔·马尔恰克表示：“间谍软件被滥用的案例越来越多，并且有证据表明公司将间谍软件出售给了不应拥有它的政府。我只能希望我们的调查能让这些公司销售间谍软件时三思而后行，希望潜在与专制政府打交道时要再三考虑，以及让潜在的投资者再三斟酌向独裁者出售间谍软件存在的固有风险。”

Lookout 安全情报副总裁迈克·莫里表示：“我们知道 NSO 正在继续扩大业务，他们积累了很多客户。”

多年来，数字人权研究人员一直在调查从事政府间谍软件业务（也就是所谓的“合法拦截”）的公司，这些公司包括 Hacking Team、FinFisher 和 NSO，这些公司开发监控软件，并专门推销给全球的政府机构。

多年来，公民实验室和其他组织记录了多个滥用这些工具攻击记者、异见人士和人权工作者的案例。 2014年，公民实验室在21个国家发现 Hacking Team 的踪迹，分别于2013年和2015年通过扫描在25和32个国家发现 FinFisher 的身影。