使用 Cellebrite 工具解锁记者手机后,NoviSpy 间谍软件被安装到手机上
根据国际特赦组织发布的新报告,一名塞尔维亚记者的手机首先被 Cellebrite 工具解锁,随后又被一款之前未记录的代号为NoviSpy 的间谍软件入侵。
根据国际特赦组织发布的新报告,一名塞尔维亚记者的手机首先被 Cellebrite 工具解锁,随后又被一款之前未记录的代号为NoviSpy 的间谍软件入侵。
该公司在一份长达 87 页的技术报告中表示: “NoviSpy 可以在感染后从目标手机中获取敏感的个人数据,并能够远程打开手机的麦克风或摄像头。”
法医证据分析表明,在 2024 年初独立记者斯拉维莎·米拉诺夫 (Slaviša Milanov) 被塞尔维亚警方拘留期间,他的手机被安装在了塞尔维亚警方手中。
其他目标包括青年活动家尼古拉·里斯蒂奇(Nikola Ristić)、环保活动家伊万·米洛萨夫列维奇·布基(Ivan Milosavljević Buki)和一名来自“鳄鱼”组织(Krokodil)的未透露姓名的活动家。“鳄鱼”组织是一家总部位于贝尔格莱德的组织,致力于促进西巴尔干地区的对话与和解。
这一进展标志着首次已知的两种截然不同的高度侵入性技术被结合使用,以促进监视和泄露敏感数据的案例之一。
特别是 NoviSpy,它被设计用来从受感染的手机中收集各种信息,包括手机上所有操作的屏幕截图、目标位置、音频和麦克风录音、文件和照片。它使用 Android Debug Bridge ( adb ) 命令行实用程序安装,并以两个应用程序的形式出现 -
NoviSpyAdmin (com.serv.services),请求大量权限来收集通话记录、短信、联系人列表并通过麦克风录制音频
NoviSpyAccess (com.accesibilityservice),滥用 Android 的辅助功能服务,秘密收集电子邮件帐户和 Signal 和 WhatsApp 等消息应用程序的屏幕截图、窃取文件、跟踪位置并激活相机
目前尚不清楚 NoviSpy 的开发者究竟是谁,但大赦国际告诉404 Media,这款软件可能是塞尔维亚当局内部开发的,也可能是从第三方获得的。据说这款间谍软件的开发至少从 2018 年开始。
国际特赦组织指出:“这些工具共同为国家提供了巨大的数据收集能力,既可以秘密收集数据(例如使用间谍软件),也可以公开收集数据(通过非法和不正当使用 Cellebrite 手机提取技术)。”
该非政府组织进一步指出,塞尔维亚安全信息局 (BIA) 自至少 2014 年以来就公开参与采购间谍软件工具,使用 FinFisher 的FinSpy、Intellexa 的Predator和 NSO 集团的Pegasus等各种产品秘密监视抗议组织者、记者和民间社会领袖。
塞尔维亚警方在与美联社分享的一份声明中称该报告“完全不正确”并且“世界各地的其他警察部队也以同样的方式使用了这种法医工具。”
针对这一调查结果,以色列公司 Cellebrite 表示正在调查其工具被滥用的情况,如果发现相关机构违反其最终用户协议,公司将采取适当措施,包括终止与相关机构的关系。
同时,研究还发现了 Cellebrite 通用取证提取设备 ( UFED ) 使用的零日特权提升漏洞 - 一种允许执法机构解锁并获取存储在手机上的数据的软件/系统 - 以获取对塞尔维亚活动人士设备的更高访问权限。
该漏洞被追踪为CVE-2024-43047(CVSS 评分:7.8),是高通数字信号处理器 (DSP) 服务 (adsprpc) 中的一个用户释放后漏洞,可能导致“在维护 HLOS 内存的内存映射的同时发生内存损坏”。该芯片制造商已于 2024 年 10 月修补了该漏洞。
谷歌在今年早些时候收到由野外(ITW)漏洞利用生成的内核崩溃日志后,启动了“更广泛的代码审查流程”,并表示在 adsprpc 驱动程序中总共发现了 6 个漏洞,其中包括 CVE-2024-43047。
Google Project Zero 的 Seth Jenkins 表示:“Android 的芯片组驱动程序是攻击者最想攻击的目标,而这次 ITW 漏洞是现实世界中一个有意义的例子,说明了当前第三方供应商驱动程序的安全态势对最终用户造成的负面影响。”
“系统的网络安全程度取决于其最薄弱的环节,而芯片组/GPU 驱动程序是 2024 年 Android 特权分离最薄弱的环节之一。”
就在此事发生之际,民主与技术中心(CDT)欧洲分支机构与 Access Now 和大赦国际等其他民间社会组织一起致信欧盟理事会主席国波兰,呼吁优先采取行动打击滥用商业监控工具。
Lookout 最近发布的一份报告显示,中国大陆执法部门正在使用代号为EagleMsgSpy 的合法拦截工具,在获得移动设备的物理访问权限后收集大量信息。
本月初,公民实验室进一步透露,俄罗斯政府拘留了一名向乌克兰捐款的男子,并在释放他之前在他的安卓手机上植入了间谍软件——一种通话记录应用程序的木马版本。
该公司在一份长达 87 页的技术报告中表示: “NoviSpy 可以在感染后从目标手机中获取敏感的个人数据,并能够远程打开手机的麦克风或摄像头。”
法医证据分析表明,在 2024 年初独立记者斯拉维莎·米拉诺夫 (Slaviša Milanov) 被塞尔维亚警方拘留期间,他的手机被安装在了塞尔维亚警方手中。
其他目标包括青年活动家尼古拉·里斯蒂奇(Nikola Ristić)、环保活动家伊万·米洛萨夫列维奇·布基(Ivan Milosavljević Buki)和一名来自“鳄鱼”组织(Krokodil)的未透露姓名的活动家。“鳄鱼”组织是一家总部位于贝尔格莱德的组织,致力于促进西巴尔干地区的对话与和解。
这一进展标志着首次已知的两种截然不同的高度侵入性技术被结合使用,以促进监视和泄露敏感数据的案例之一。
特别是 NoviSpy,它被设计用来从受感染的手机中收集各种信息,包括手机上所有操作的屏幕截图、目标位置、音频和麦克风录音、文件和照片。它使用 Android Debug Bridge ( adb ) 命令行实用程序安装,并以两个应用程序的形式出现 -
NoviSpyAdmin (com.serv.services),请求大量权限来收集通话记录、短信、联系人列表并通过麦克风录制音频
NoviSpyAccess (com.accesibilityservice),滥用 Android 的辅助功能服务,秘密收集电子邮件帐户和 Signal 和 WhatsApp 等消息应用程序的屏幕截图、窃取文件、跟踪位置并激活相机
目前尚不清楚 NoviSpy 的开发者究竟是谁,但大赦国际告诉404 Media,这款软件可能是塞尔维亚当局内部开发的,也可能是从第三方获得的。据说这款间谍软件的开发至少从 2018 年开始。
国际特赦组织指出:“这些工具共同为国家提供了巨大的数据收集能力,既可以秘密收集数据(例如使用间谍软件),也可以公开收集数据(通过非法和不正当使用 Cellebrite 手机提取技术)。”
该非政府组织进一步指出,塞尔维亚安全信息局 (BIA) 自至少 2014 年以来就公开参与采购间谍软件工具,使用 FinFisher 的FinSpy、Intellexa 的Predator和 NSO 集团的Pegasus等各种产品秘密监视抗议组织者、记者和民间社会领袖。
塞尔维亚警方在与美联社分享的一份声明中称该报告“完全不正确”并且“世界各地的其他警察部队也以同样的方式使用了这种法医工具。”
针对这一调查结果,以色列公司 Cellebrite 表示正在调查其工具被滥用的情况,如果发现相关机构违反其最终用户协议,公司将采取适当措施,包括终止与相关机构的关系。
同时,研究还发现了 Cellebrite 通用取证提取设备 ( UFED ) 使用的零日特权提升漏洞 - 一种允许执法机构解锁并获取存储在手机上的数据的软件/系统 - 以获取对塞尔维亚活动人士设备的更高访问权限。
该漏洞被追踪为CVE-2024-43047(CVSS 评分:7.8),是高通数字信号处理器 (DSP) 服务 (adsprpc) 中的一个用户释放后漏洞,可能导致“在维护 HLOS 内存的内存映射的同时发生内存损坏”。该芯片制造商已于 2024 年 10 月修补了该漏洞。
谷歌在今年早些时候收到由野外(ITW)漏洞利用生成的内核崩溃日志后,启动了“更广泛的代码审查流程”,并表示在 adsprpc 驱动程序中总共发现了 6 个漏洞,其中包括 CVE-2024-43047。
Google Project Zero 的 Seth Jenkins 表示:“Android 的芯片组驱动程序是攻击者最想攻击的目标,而这次 ITW 漏洞是现实世界中一个有意义的例子,说明了当前第三方供应商驱动程序的安全态势对最终用户造成的负面影响。”
“系统的网络安全程度取决于其最薄弱的环节,而芯片组/GPU 驱动程序是 2024 年 Android 特权分离最薄弱的环节之一。”
就在此事发生之际,民主与技术中心(CDT)欧洲分支机构与 Access Now 和大赦国际等其他民间社会组织一起致信欧盟理事会主席国波兰,呼吁优先采取行动打击滥用商业监控工具。
Lookout 最近发布的一份报告显示,中国大陆执法部门正在使用代号为EagleMsgSpy 的合法拦截工具,在获得移动设备的物理访问权限后收集大量信息。
本月初,公民实验室进一步透露,俄罗斯政府拘留了一名向乌克兰捐款的男子,并在释放他之前在他的安卓手机上植入了间谍软件——一种通话记录应用程序的木马版本。
关于作者
评论0次