Google关注商业间谍软件供应商,披露两大结合运用多个零时差漏洞与既有漏洞(N-day)的间谍活动,这些极具针对性的活动锁定Android、iOS和Chrome热门平台,Google提到,根据他们的调查,商业监控供应商现在技术力提升,也拥有过去只有政府层级才能开发和操作漏洞的能力。
第一个间谍活动被称为“Your missed parcel”,Google发现通过使用Android和iOS的零时差漏洞利用链,恶意攻击者可以发送短信息给位于意大利、马来西亚和哈萨克斯坦的用户,消息内的连接会将用户导向恶意页面,之后再重定向到诸如货运或是物流公司的合法页面。
在iOS上,恶意页面使用WebKit远程程序代码执行漏洞CVE-2022-42856,以及CVE-2021-30900沙盒逃逸和特权提升漏洞CVE-2021-30900,在iOS上安装恶意Stager打开后门,回传设备的GPS位置,并且让攻击者可以于设备安装恶意程序。
而Android则需要用到Arm GPU手机上Chrome 106之前版本的漏洞,用到的漏洞包括类型混淆漏洞CVE-2022-3723、Chrome GPU旁路漏洞CVE-2022-4135、Arm特权提升漏洞CVE-2022-38181,而对三星用户,网站还会通过意图重定向功能(Intent Redirection)从三星网际网络浏览器打开Chrome。用户更新到Chrome 108便能免于受到攻击。
第二个间谍活动,则是针对三星网际网络浏览器的漏洞入侵链,恶意攻击者同样是通过短信发送一次性连接,到位于阿联酋的设备,将用户导向到一个页面,该页面使用商业间谍软件供应商Variston所开发的Heliconia框架,而漏洞利用链使用了一个以C++开发,且功能齐全的Android间谍软件组件,包括可以解密和截取各种聊天和浏览器应用程序资料的函数库,进而关注受害者的社交和网页浏览行为。
这个活动主要影响使用Chromium 102版本的三星浏览器,恶意攻击者总共使用了6个漏洞,包括Chrome的类型混淆漏洞CVE-2022-4262、沙盒逃逸漏洞CVE-2022-3038,以及Mali GPU核心驱动程序授给攻击者访问系统权限的CVE-2022-22706漏洞,还有提供攻击者核心读写访问权限的Linux核心声音子系统漏洞CVE-2023-0266,恶意攻击者也利用了多个核心资讯泄漏漏洞,包括CVE-2022-22706和CVE-2023-0266。
每一个漏洞软件原厂皆已修复,但可能因为修复时间差,或是因为版本更新节奏的关系,供应商并没有及时修补程序,使得攻击者有机可乘。通过结合零时差漏洞和既有漏洞,商业间谍软件供应商能够开发关注用户的工具,Google提到,这些供应商向政府出售漏洞技术和监控功能,使政府能够关注异议份子、记者、人权工作者和反对党政客。