Predator 间谍软件通过零日攻击、MitM 攻击传递到 iOS、Android 设备

据谷歌威胁分析小组称，Predator 间谍软件已利用 iOS 和 Chrome 零日漏洞和中间人 (MitM) 攻击传播到 iPhone 和 Android 设备。

苹果上周向客户通报了三个零日补丁的可用性，这些补丁分别为 CVE-2023-41991（签名验证绕过）、CVE-2023-41992（本地权限升级）和 CVE-2023-41993（通过任意代码执行）恶意网页）。

苹果修复了 iOS、macOS 和其他软件中的漏洞，但这家科技巨头指出，它只知道针对运行 16.7 之前的 iOS 版本的设备的漏洞利用。

多伦多大学公民实验室小组和谷歌威胁分析小组因向苹果报告这些漏洞而受到赞誉，周五透露，这些漏洞与针对埃及主要反对派政治家艾哈迈德·阿尔坦塔维的攻击有关
。

该漏洞的有趣之处在于它是通过 MitM 攻击实现的，这种攻击通常由拥有多种资源的威胁行为者发起，例如国家资助的组织。

在这种特殊情况下，公民实验室解释说，当 Altantawy 通过他的沃达丰埃及移动数据连接访问某些网站时，他会被重定向到一个为 Predator 间谍软件提供服务的网站，该软件被归因于名为 Cytrox 和 Intellexa 的两个相关实体。Cytrox 以其高端 iPhone 植入物而闻名。

仅当埃及立法者访问使用 HTTP 而不是 HTTPS 的网站时，才会被重定向到提供间谍软件的网站。这使得攻击者能够拦截受害者的流量并强制重定向到恶意网站。

“虽然‘0 点击’漏洞（不需要用户交互的错误）受到关注，但这种 MITM 交付也不需要用户打开任何文档、单击特定链接或接听任何电话，”谷歌解释道。

极权主义和独裁政权使用流量管理中间盒在 ISP 级别进行监视和流量操纵的情况并不罕见。

公民实验室表示，在这种情况下，攻击者使用了注入中间盒，但该组织无法确定该中间盒是在埃及电信还是沃达丰埃及的网络上。

“但是，我们怀疑它位于沃达丰埃及的网络内，因为精确地针对单个沃达丰用户进行注入需要与沃达丰的用户数据库集成，”公民实验室表示。

公民实验室指出，埃及是 Predator 间谍软件的知名客户，这意味着针对反对派领导人的行动极不可能在埃及当局不知情的情况下进行。

谷歌还报告称，发现了一个旨在在埃及的 Android 设备上安装 Predator 间谍软件的漏洞利用链。其研究人员无法识别该链中涉及的每个漏洞，但他们确实确认它利用 CVE-2023-4762 进行远程代码执行。

CVE-2023-4762 是一个 Chrome 漏洞，已由 Google在 9 月初发布的更新中修复。当时，该公司尚未意识到存在野外利用情况，但认为该漏洞在修复程序发布之前已被作为零日漏洞利用。

Android 漏洞利用链不仅通过 MitM 攻击进行传播，还通过 SMS 和 WhatsApp 消息中直接发送到目标的恶意链接进行传播。

除了修补该漏洞外，谷歌还指出，Chrome浏览器有一个名为HTTP-First模式的功能，该功能会尝试自动将网页升级到HTTPS。