谷歌:黑客利用零日漏洞监控 iPhone、Android 用户;欧洲刑警组织:ChatGPT很有可能被滥用于网络犯罪
2023-3-31 10:4:40 Author: 黑白之道(查看原文) 阅读量:20 收藏

谷歌:黑客利用零日漏洞监控 iPhone、Android 用户

近日,谷歌的威胁分析小组 (TAG) 发现了两个具有高度针对性的移动间谍软件活动,它们使用零日漏洞针对 iPhone 和 Android 智能手机用户部署监控软件。

Google TAG 发现了两个针对移动设备上的 Android、iOS 和 Chrome 用户的“不同的、有限的和高度针对性的”活动。这些活动使用零日和 N日漏洞,利用供应商发布漏洞修复程序和硬件制造商使用这些补丁更新最终用户设备之间的时间,为未打补丁的平台创建漏洞。

这些发现凸显了供应商和最终用户及时修补软件以防止恶意行为者利用已知漏洞的重要性。这些活动还表明,监控软件供应商共享漏洞和技术,以促进具有潜在危险的黑客工具的扩散。

第一个活动(CVE-2022-42856;CVE-2022-4135)分别针对 15.1 之前的 iOS 和 Android 版本,以及运行 106 之前的 Chrome 版本的 ARM GPU

此类攻击活动中的攻击负载包括一个简单的 stager,它可以回测设备的 GPS 位置,并允许攻击者将 .IPA 文件安装到受影响的手机上,该文件可用于窃取信息。

该活动针对 Android 和 iOS 设备,初始访问尝试通过 Bit.ly URL 短链接通过短信发送给位于以下三个国家/地区的用户:

  • 意大利

  • 马来西亚

  • 哈萨克斯坦。

第二个活动(CVE-2022-4262;CVE-2023-0266)包括使用零日和 n 日的完整漏洞利用链,目标是三星互联网浏览器的最新版本

此类攻击活动的有效载荷是一个基于 C++ 的“功能齐全的 Android 间谍软件套件”,其中包括用于解密和捕获来自各种聊天和浏览器应用程序的数据的库。

谷歌研究人员怀疑,涉案人员可能是商业间谍软件供应商 Variston 的客户、合作伙伴或其他密切关联方。

值得注意的是,据Hackread.com去年报道,Variston 是一家总部位于巴塞罗那的公司,被谷歌 TAG 曝光,利用 Chrome、Firefox 和 Microsoft Defender 中的 n-day 漏洞,冒充定制网络安全解决方案提供商。

来自针对意大利用户的恶意网站之一的示例屏幕截图

(来源:谷歌)

TAG 积极跟踪商业间谍软件供应商,目前正在观察 30 多家,并确定出售给国家支持的参与者的漏洞利用或监视功能。这些危险的黑客工具为政府提供了他们无法在内部开发的监视能力。

这些工具,包括间谍软件,经常被用来针对持不同政见者、记者、人权工作者和反对党政客,构成危及生命的风险。

尽管根据大多数国家或国际法律,监视技术的使用通常是合法的,但政府滥用这些法律和技术来针对不符合其议程的个人。

自从政府滥用NSO Group 的 Pegasus 移动间谍软件针对 iPhone 用户的行为受到国际关注后,监管机构和供应商一直在打击商业间谍软件的生产和使用。

3 月 28 日,拜登政府发布了一项行政命令,限制联邦政府使用商业监控工具,但谷歌的调查结果表明,这些努力并未阻止商业间谍软件的出现。

必须加强有关商业间谍软件生产和使用的法规,以确保它们不会被用于侵犯个人基本权利的目标。

这些发现表明,那些创建漏洞的人正在密切关注他们可以为邪恶目的利用的漏洞,并且很可能串通以最大限度地利用它们来破坏目标设备。

欧洲刑警组织:ChatGPT很有可能被滥用于网络犯罪

欧洲刑警组织在一篇报告中警告,像ChatGPT这类基于人工智能的系统很可能会被犯罪组织滥用。ChatGPT是一种大型语言模型(LLM),用以处理、操作及生成文本。它能够回答绝大多数问题、翻译文本、进行对话交流、甚至是生成代码。同时,这种技术也可能被犯罪分子用于社会工程攻击、虚假信息宣传、开发恶意代码等犯罪活动。

3月27日,欧洲刑警组织创新实验室与相关专家组织了一系列研讨会,探讨犯罪分子会如何滥用 ChatGPT 等大型语言模型,以及它如何协助调查人员的日常工作。会议报告名为“ChatGPT - the impact of Large Language Models on Law Enforcement(ChatGPT - 大型语言模型对执法的影响)”,该报告概述了 ChatGPT 的潜在滥用,并展望了未来可能发生的事情。
欧洲刑警组织的专家们指出,ChatGPT可能为以下三个犯罪领域提供了便利:
1、欺诈和社会工程:ChatGPT高度逼真的文本生成能力使其成为网络钓鱼的有力工具。LLMs语言模式再现能力可用于模仿特定个人或群体的说话风格。
2、假情报:AI擅长快速批量生成真假难辨的声音文本,用户能够借以生成及传播特定叙述的信息,这使其非常适合宣传虚假信息。
3、网络犯罪:只要提供明确的需求,ChatGPT 就能够使用多种不同的编程语言生成用户所需的代码。对于欠缺技术知识的潜在犯罪分子来说,它就是生成恶意代码的有力工具。
欧洲刑警组织的报告旨在提高人们对LLMs潜在滥用的认识,与人工智能公司开展对话,帮助他们建立更好的保障措施,并促进安全可靠的人工智能系统的发展。报告中特别强调了执法机构需要了解这些技术的积极和消极应用,以便应对未来的挑战。可以看到,尽管目前AI的发展未臻完美,但其能力与日俱进,任何人都十分有必要提高对其的认知。

文章来源 :E安全、安全内参

精彩推荐

最难就业季|“本想先读书躲一躲,谁料行情还不如两年前”



文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650567000&idx=1&sn=320d0c4cbbca8f42cd8b646ae79bb6d2&chksm=83bd14bcb4ca9daa3faa5f4b31dfb8a62f3b7c80949ca3095943e09d1572cb1e4ae959d7958c#rd
如有侵权请联系:admin#unsafe.sh