新型監視車五百米內能入侵任何設備

最新 07-02

世界上已經有一些很先進的間諜機構具備開發高度侵入性監視技術的能力，這些監視機構已經在全球範圍內建立了數百家這類監視技術公司，這些公司主要由前間諜組成。監視更多針對的是人權活動家和記者們，而不是抓捕罪犯。這並不奇怪–ZZ主義正在世界各地崛起，監管法律普遍不足。法治本身在全球面臨挑戰。

一家總部位於塞普勒斯的監控公司稱已經建造了一輛滿載新一代探聽套件的汽車，它可以在距離500米遠的地方感染任何Apple和Google手機。

WiSpear由以色列全球監控市場的長期玩家之一TalDilian創立，目前售價在350萬美元至500萬美元之間，並聲稱已經獲得了很多買家的興趣。隱私社區對此高度關注。

SpearHead360汽車使用24根天線以接觸目標設備。一旦選定了目標手機，WiSpear汽車有四種不同的方式來強制手機連接到基於Wi-Fi的攔截器，從而可以在設備上開始窺探（使用中間人攻擊）。根據Dilian的說法，針對四種主流操作系統該監視工具有四種不同的惡意軟體，針對包括Apple的iOS或Google的Android設備。

該監視技術還聲稱可以訪問一系列未被公開的Android和iOS漏洞（稱為零日漏洞，這裡的鏈接是更多解釋），這是任何成功的駭客入侵谷歌和蘋果操作系統所必需的。

他們還說，這種汽車可以同時用來破解電腦;不論坐在咖啡店裡上網的目標人使用的是Mac，Android還是Windows，都可以被立即感染。

WiSpear本月在ISSWorld和Eurosatoryconferences會議上展示了這輛用於監控的麵包車。正如下面的視頻所示，警方可以大模大樣地帶無人機和背包進入車內，進行更多的移動監控。根據Dilian的說法，這種裝滿監視工具的背包單價可能高達120萬美元。

談到有效距離時，Dilian說，雖然他的測試隊伍已經成功地進行了1000米開外實施的攻擊，但他告訴客戶在真實世界中不要超過500米。至於該公司開發的Wi-Fi攻擊，Dilian表示，四種可用的惡意軟體中的兩種使用中間人攻擊技術，這些技術從未公開披露，並利用Wi-Fi協議中的弱點，從而能使攻擊特別有力。

由於該技術本月才剛發布，迄今為止尚未獲取SpearHead360訂單的任何消息。但是，在與當前客戶交談後，Dilian認為，今年內至少能賣出2到4台。

對美國人來說太貴了？

也許並不是每個政府都相信自己需要這樣一個猖獗的間諜騎士。安全公司RedMesa的創始人DrewPorter說，他不會向執法部門的客戶推薦這種車子，部分原因是成本。「只有少數幾個警察部門或許可以考慮在美國買這些東西，它有點貴……這對於有關隱私問題或許是件好事，」他告訴Forbes。

Porter認為這種車子對於真正的秘密監視來說太顯眼了。他解釋說：「這並不是對他們的產品的抨擊，我相信這種產品對於預期的目標來說非常有效，只是對於我的偏好來說，設備安裝的太大（比如麵包車的大小）我的許多客戶都會有相同的感覺。」

他還說他覺得不能推薦利用零日漏洞做攻擊的產品。「我很難說出它的真實價值，」他補充道。

這種說法實在太裝了。Wikileaks兩年前就發布過CIA廣泛使用的黑客工具的細節——針對Windows，Android，iOS，OSX和Linux計算機系統以及聯網路由器的惡意軟體。利用的就是零日漏洞。

揭秘資料顯示，中央情報局中一個專門單位的工作就是瞄準iPhone和iPad，允許該機構看到目標對象的地理位置、激活他們的設備的攝像頭和麥克風，並閱讀文字通信。該部門還利用GCHQ，NSA和FBI獲得的進一步iOS「零日漏洞」。

那是日期為2014年6月的文件，說明情報機構至少在四年前已經開始利用零日漏洞做攻擊了。

Forbes的報道說，即使WiSpear也不能完全控制麵包車監視系統使用的所有代碼。間諜軟體類型（或Dilian稱之為「Trojans」的東西）來自四個不同的供應商。Dilian沒有說出這些合作夥伴的名字，但表示任何惡意軟體製造商都可以加入，包括NSO集團。

眾所周知，NSO集團的工具已經被發現被政府利用來打壓異議人士。近五年內全球曝光的所有大規模監視中兩個國家政府實施的監視入侵手段格外突出，一個就是美國，另一個是墨西哥。墨西哥政府使用的入侵異議人士電子設備的技術就是NSO集團提供的Pegasus間諜軟體。

注意：報道說Dilian已經與NSO建立了合作關係，他以1.3億美元的價格將他的舊智能手機監控公司Circles賣給了購買NSO的同一家私募股權公司FranciscoPartners。他們現在已經合併組建了QCyberTechnologies，儘管最近有報道稱NSO集團正在與監控巨頭Verint就價值10億美元的交易進行談判。

隱私焦慮

無論SpearHead360的局限性如何，隱私權活動家都對這種強大的監視技術的潛力格外擔憂。

隱私國際組織國家監督計劃負責人EdinOmanovic說，雖然監視供應商經常誇大他們有什麼功能，但這種使用零日漏洞的技術是非常值得警惕的。這種漏洞被發現的是為了立即提供了供應商，以進行修補，保護用戶的安全，然而它現在居然迴避供應商，直接賣給了監視技術公司，用來破壞人們的隱私。

「駭客行為的監視技術利用數百萬人可能使用的系統和服務的弱點。在促進網路安全成為全球優先考慮事項的時代里，政府不能允許這種行為發生「，Omanovic說。「關心技術漏洞和網路攻擊的政府當局應該盡一切努力使設備和網路更安全，而不是更危險。」

「世界上已經有一些很先進的間諜機構具備開發高度侵入性監視技術的能力，這些監視機構已經在全球範圍內建立了數百家這類監視技術公司，這些公司主要由前間諜組成。顯然這對他們自己有好處，因為他們可以賺錢，但是在全球範圍內我們已經看到，監視更多針對的是RQ活動家和記者們，而不是抓捕罪犯」。