這個案子挺諷刺的。一群議員專門調查政府濫用間諜軟件,結果其中一個委員的手機,就被正在調查的間諜軟件給黑了。
加拿大多倫多大學下屬的數字權利實驗室公民實驗室(Citizen Lab)本周五發布報告,確認希臘記者、前歐洲議會議員斯特利奧斯·庫洛格魯(Stelios Kouloglou)的手機在2022年至2023年期間,被Pegasus間諜軟件成功入侵。庫洛格魯當時正擔任歐洲議會PEGA委員會的成員,這個委員會的核心任務,就是調查歐盟各國政府使用手機間諜軟件的情況。公民實驗室指出,這是該委員會成員首次被公開確認為間諜軟件的受害者。
![]()
![]()
攻擊發生的時間點很微妙。2022年10月那次入侵,恰好趕上委員會內部圍繞調查報告展開激烈討論的時期。調查間諜軟件的人被同款間諜軟件盯上,這顯然不只是巧合那么簡單。公民實驗室的研究人員沒有把這次攻擊歸因于某個具體國家,但他們發現了一個關鍵線索:攻擊者所使用的、預先加載了Pegasus的電子郵箱地址,與早前一起針對全歐記者的大規模監控行動中所用的郵箱完全一致。同一攻擊郵箱被重復使用,這暗示背后的政府客戶很可能獲得了NSO集團的授權,可以在歐洲多國境內利用其Pegasus工具進行偵查。不過,這名客戶究竟是誰,目前尚不清楚。
對于這起事件,庫洛格魯本人直接用了reckless這個詞來形容——他的手機被蓄意攻破,這種做法太過輕率魯莽。另一位在任的歐洲議員措辭更為嚴厲,將這起黑客行為定性為對法治的直接攻擊,并呼吁歐盟委員會采取實際行動,在整個27國集團范圍內對間諜軟件的使用施加嚴格限制。截至發稿前,歐盟委員會發言人沒有回應TechCrunch的置評請求。NSO集團同樣未就該報告做出回復。
那么,手機到底是怎么被攻破的?報告披露了技術細節。攻擊者利用了蘋果iPhone系統里一個已知的安全漏洞,通過一種零點擊(zero-click)漏洞實現入侵。所謂零點擊,就是整個過程無需你點擊任何鏈接、不產生任何交互,間諜軟件就能悄無聲息地鉆進去,開始往外偷數據。庫洛格魯在2022年10月被黑一次,2023年3月又至少遭遇兩次攻擊。雖然蘋果當時已經發布了針對該漏洞的修復補丁,但他還沒來得及更新安裝。
被利用的具體入口,是iPhone里負責智能家居功能的HomeKit組件。這個程序早就存在那段有問題的舊代碼,Pegasus順著它摸進去后,在庫洛格魯完全不知情的情況下,撈走了手機里大量的私密信息,包括短信及其他通信記錄、位置數據,還有手機里的照片。
這件事拋出了一個老問題,而且比以往都更尖銳。各國政府聲稱使用間諜軟件是為了偵破嚴重犯罪,但當工具不斷被用在記者、議員和批評者身上的時候,那條所謂合法使用的邊界在哪里?PEGA委員會本來就承擔著揭開真相的責任,其調查報告被外界高度期待。如今,針對委員會成員內部運作的高度聚焦式監控,讓這份報告背后的角力更加耐人尋味。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.