題記：2017年四月，E安全報道過 Pegasus 是世上最危險的手機間諜軟件，今天再次報道，是因為加拿大多倫多大學公民實驗室于9月18日發布了一則關于它的最新分析報告，該實驗室一直在追蹤該軟件，于2016年就已經發布過相關報告，當時報告重點是該軟件利用 iOS 多年存在的三個零日漏洞，逐步精巧的拿下并控制蘋果手機的過程。

該軟件由以色列一家名叫 NSO 的公司開發，該公司市值近10億。這樣一款處于灰色地帶的非法間諜軟件，精心包裝在一個合法的公司殼內，該公司宣稱該軟件只賣給政府機構，用來打擊恐怖分子和預防犯罪。如同當年的木馬軟件，強調自己的遠控功能，是為了讓網絡管理員們更方便的遠程管理一樣。但是，間諜軟件和木馬軟件最終一樣泛濫成災，從最初的美好愿望（合法化包裝），到背離初衷，Pegasus已經染指全球45個國家。

作為一家商業化運營的公司，追求利潤最大化毋庸置疑，銷售更多拷貝可以讓公司活得更好，所以單銷售給政府機構用于反恐恐怕利潤不夠，走入巨大的民用市場才能讓其財富呈幾何級數增長。和 Pegasus 同樣知名的還有 FlexiSPY，以及 FinSpy。這些間諜軟件在民用市場中的玩法，其中有一個熱門的應用場景，夫妻之間用于監控伴侶，軟件可收集監聽語音通話、短信、社交軟件等等數據。灰色軟件從最初的正義面目到歪樓，從光明墜入到無邊黑暗，一切皆在意料之中。

加拿大多倫多大學公民實驗室（Citizen Lab）當地時間9月18日發布報告披露，其通過掃描技術發現 Pegasus 手機間諜軟件過去兩年活躍于全球45個國家，包括美國、英國和加拿大。

圖1 Pegasus間諜軟件的范圍和規模

Pegasus堪稱最危險的間諜軟件，具有自毀功能

Pegasus 被認為是目前為止最危險的一款間諜軟件，由市值接近10億美元的以色列公司 NSO Group 開發。這款間諜軟件可隱藏在蘋果或谷歌設備中，通過攝像頭實施監控，通過麥克風監聽對話，竊取文件，嗅探私密信息，以及執行其他間諜活動。

NSO 一直聲稱，其開發的工具旨在追蹤恐怖分子、販毒團伙等無惡不作的犯罪分子。然而，該公司并不像其宣稱的那般光明磊落，因為它被抓包卷入了墨西哥和阿聯酋的間諜丑聞當中。在兩起案例中，Pegasus 因被用于監控活動人士、記者和律師而遭到民權組織的強烈抗議。就在上個月（2018年8月），福布斯報道稱，專注阿聯酋問題的研究員成為了 NSO 間諜軟件的目標。最近，在以色列和塞浦路斯，針對 NSO Group 的訴訟公開了電子郵件，其似乎表明 NSO 曾入侵了阿拉伯某報社一名記者的電話。

圖2Pegasus收集的數據類型

Pegasus 感染受害者的前提是：誘騙用戶點擊鏈接，然后傳送一系列 0Day 漏洞，并在手機上秘密安裝 Pegasus。此后，這款間諜軟件便可通過手機的攝像頭和麥克風執行間諜活動，它還可竊取短信、密碼、照片、聯系人列表、日程事件等。Pegasus 的主要功能如下：

記錄鍵盤；

捕獲截圖；

捕獲實時音頻；

通過短信遠程控制這款惡意軟件；

抓取來自常用應用程序（包括 WhatsApp、Skype、Facebook、Twitter、Viber 和 Kakao）的數據；

竊取瀏覽器歷史；

竊取來自安卓 Native Email 客戶端的電子郵件；

竊取聯系人和短信等。

Pegasus足跡遍布45個國家，或上百個國家

移動安全公司 Lookout 無法證實公民實驗室確定的這45個國家，但表示它也在追蹤 NSO，并檢測到 Pegasus 感染國家超過“三位數”，這意味著超過100個。

公民實驗室的研究人員在45個國家發現 Pegasus 的感染實例，這些國家包括阿爾及利亞、巴林、孟加拉國、巴西、加拿大、科特迪瓦、埃及、法國、希臘、印度、伊拉克、以色列、約旦、哈薩克斯坦、肯尼亞、科威特、吉爾吉斯斯坦、拉脫維亞、黎巴嫩、利比亞、墨西哥、摩洛哥、荷蘭、阿曼、巴基斯坦、巴勒斯坦、波蘭、卡塔爾、盧旺達、沙特阿拉伯、新加坡、南非、瑞士、塔吉克斯坦、泰國、多哥、突尼斯、土耳其、阿聯酋、烏干達、英國、美國、烏茲別克斯坦、也門和贊比亞。

圖3 Pegasus世界分布概覽

對于公民實驗室的調查結果，NSO 的發言人在一份聲明中表示，報告中所列的許多國家都不在 NSO 的業務運營范圍內。

間諜軟件無孔不入

公民實驗室的研究員比爾·馬爾恰克表示：“間諜軟件被濫用的案例越來越多，并且有證據表明公司將間諜軟件出售給了不應擁有它的政府。我只能希望我們的調查能讓這些公司銷售間諜軟件時三思而后行，希望潛在與專制政府打交道時要再三考慮，以及讓潛在的投資者再三斟酌向獨裁者出售間諜軟件存在的固有風險。”

Lookout 安全情報副總裁邁克·莫里表示：“我們知道 NSO 正在繼續擴大業務，他們積累了很多客戶。”

多年來，數字人權研究人員一直在調查從事政府間諜軟件業務（也就是所謂的“合法攔截”）的公司，這些公司包括 Hacking Team、FinFisher 和 NSO，這些公司開發監控軟件，并專門推銷給全球的政府機構。

多年來，公民實驗室和其他組織記錄了多個濫用這些工具攻擊記者、異見人士和人權工作者的案例。 2014年，公民實驗室在21個國家發現 Hacking Team 的蹤跡，分別于2013年和2015年通過掃描在25和32個國家發現 FinFisher 的身影。