間諜軟體成了以色列的外交利器

闕志克 2022年06月29日 07:00:00
Pegasus是世界上唯一可以神不知鬼不覺植入目標人手機,擷取其機上資訊的間諜軟體。(美聯社)

Pegasus是世界上唯一可以神不知鬼不覺植入目標人手機,擷取其機上資訊的間諜軟體。(美聯社)

比之於以色列其他數以百計的資安公司,NSO Group的業績不算特別突出,其2021年營收約2.4億美元。然而其主力產品,Pegasus,卻在以色列近年來許多外交突破,扮演舉足輕重的腳色。為什麼Pegasus擁有這麼大的威力? 因為它是世界上唯一可以神不知鬼不覺植入目標人手機,擷取其機上資訊的間諜軟體。近年來,由於販毒組織與恐怖分子以加密通訊軟體作為溝通工具日漸普遍,許多政府攔截犯罪者間通訊的能力大為降低。Pegasus有效解決此一痛點,因為它可以將通訊內容於加密之前或之後捕獲,甚而攫取手機上其他犯罪資料。也因其功能強大,許多獨裁政權濫用Pegasus打擊政敵、戕害反對黨與批評者,其中最有名的例子為在土耳其被沙烏地阿拉伯政府謀殺的華盛頓郵報專欄作家賈馬爾卡舒吉。連亞馬遜公司的老闆,傑夫貝索斯,在其外遇洩漏風波時也深受其害。

 

第一代的Pegasus經由即時通訊傳送惡意網頁鏈結,當受害人點擊,其專為操弄特定軟體弱點的客製內容被載入從而導致惡意程式的進駐,但隨著使用者資安意識的抬頭,這一類攻擊逐漸變得不是那麼有效。第二代的Pegasus完全不需點擊 (zero-click),就可將攻擊封包經由即時通訊軟體送入,進而假借這類軟體一旦收到含有影像的訊息,即便收訊人尚未閱讀,會自動將其解壓縮的特性,攻擊解碼軟體的弱點進而植入惡意程式。這種只要知道受害人的即時通訊軟帳號,就能無聲無息植入幾乎可以偷取所有手機上資訊的間諜軟體,不僅神乎其技,更是防不勝防!

 

在土耳其被沙烏地阿拉伯政府謀殺的華盛頓郵報專欄作家賈馬爾卡舒吉(Jamal Khashoggi),其親人手機疑遭間諜軟體「飛馬座」(Pegasus)。(美聯社)

 

因為深諳懷璧其罪的道理,NSO從一開始就打定主意只賣Pegasus給各國政府機關,但不賣給私人公司,而且自願將決定販賣對象的權力交給以色列政府。鑑於Pegasus無堅不摧的情蒐能力,各國政府無不趨之若騖,但唯有以色列政府點頭,他們才能如其所願。很快地以色列政府就體會到Pegasus在地緣政治伐可以扮演的角色,並將其潛力發揮到淋漓盡致。

 

自從墨西哥和巴拿馬購得Pegasus,他們在幾個聯合國巴勒斯坦議題上,從原先反對以色列的立場變成贊成以色列。印度自二戰以降歷來同情巴勒斯坦,與以色列關係冷淡,然而其總理莫地於2017年成為有史以來第一位訪問以色列的印度總理,並於該行購得Pegasus。2020年的亞伯拉罕協議 (Abraham Accords)讓以色列與約旦以外的兩個阿拉伯國家,阿拉伯聯合酋長國和巴林,建立正常外交關係,並取得使用沙地阿拉伯領空的權利。但在簽約前一刻,沙地阿拉伯幾乎決定退出,最後以色列以Pegasus為交換,挽得沙地阿拉伯的回心轉意。

 

美國中央情報局與聯邦調查局都曾經購買Pegasus,聯邦調查局試用了兩年但最後決定不予採用。其中一個原因是Pegasus的使用可能違反美國現行監聽法;另一原因是國際新聞界正組織特別協作團隊追蹤Pegasus在世界各國被濫用的現況,美國政府如此時採用,社會觀感必然很差。到2021年11月,美國商務部作了180度大轉變,竟然宣布將NSO Group列入違反美國國家安全利益的實體清單,禁止美國公司和政府機關與其有任何商業來往。以色列政府自然反應激烈,認定此舉幾乎等同於對以色列的攻擊,但美國政府不為所動,堅稱Pegasus對人權的侵犯與美國國家安全的威脅迫使它不得不然。

 

美國商務部將NSO Group列入違反美國國家安全利益的實體清單,禁止美國公司和政府機關與其有任何商業來往。(美聯社)

 

最奇怪的是,在這段期間,美國政府機關中最具資安攻防技術的國家安全局(NSA)對Pegasus案噤聲不語,全然不作評論。儘管NSO Group 擁有數以百計具有以色列頂尖軍情單位Unit 8200經歷的員工,識者以為國安局網絡攻擊作戰組織的技術力應仍略勝一籌。事實上根據近年洩漏的機密文件,國安局的確擁有類似Pegasus的手機間諜軟體技術。究竟國安局對美國政府禁制NSO Group決定的態度是大患除清,還是兔死狐悲,就頗耐人尋味了。

 

※ 作者為現任清大資工系合聘教授暨台達研究院院長。闕博士台大電機系學士、史丹福大學電腦科學碩士及加州大學柏克萊分校電腦科學博士。從1993年到2012年,闕博士在紐約州大石溪分校 (SUNY Stony Brook University) 電腦科學系擔任終身聘正教授。之後歷任世界第一大資安公司賽門鐵克(Symantec Corporation) 核心研究室主任、工研院雲端中心主任及工研院資通所所長。

 

 




 

 

【上報徵稿】

 

上報歡迎各界投書,來稿請寄至editor@upmedia.mg,並請附上真實姓名、聯絡方式與職業身分簡介。

上報現在有其它社群囉,一起加入新聞不漏接!社群連結

 



回頂端