(原标题:贝佐斯手机被沙特王储给黑了?你的手机不更简单...)
作者:郑意
一项新的调查显示,亚马逊首席执行官杰夫·贝佐斯的手机遭到黑客攻击,据悉这起攻击源于沙特王储穆罕默德·本·萨勒曼名下的WhatsApp账户,以及一个看似无关痛痒的视频文件。这次所谓的黑客攻击表明,即使是在Facebook旗下这个大名鼎鼎的加密信息应用上,网络安全也永远得不到保证。无疑,即使你不是亿万富翁,也要记住这一点。
首先是来自《卫报》和《金融时报》的报道,调查发现贝佐斯的iPhone X在2018年5月收到WhatsApp消息中的视频文件后遭到黑客攻击。负责此次调查的商业咨询公司FTI Consulting称对视频文件来自穆罕默德·本·萨勒曼的WhatsApp账户有着“中度至高度的信心”。穆罕默德·本·萨勒曼也被称为MBS。
根据FTI汇编的相关报告得知,由于WhatsApp的加密功能,视频无法被研究,因此尚不清楚它是否包含恶意软件。然而,调查人员观察到,在视频发送后不久,大量异常数据从手机中被窃取。(当恶意行为者从设备上传输数据时,数据流失通常在用户不知情的情况下发生。)这种高速流失持续了几个月。
据报道,沙特政府对《华盛顿邮报》专栏作家Jamal Khashoggi于2018年10月被谋杀一事感到“非常担忧”,而这段视频就是在这个时候被发给《华盛顿邮报》老板贝佐斯的。中情局官员后来得出结论说,暗杀是在沙特阿拉伯王储的批准下进行的。沙特王子否认了这一指控。
与此同时,在《National Enquirer》报道贝佐斯有婚外情后,人们开始怀疑沙特政府曾在2019年2月侵入贝佐斯的手机。这份报告所依据的信息似乎只能通过贝佐斯的手机获得。不久后,贝佐斯的安全团队聘请了FTI咨询公司来调查他的手机。
一些消息进一步证明了MBS侵入了贝佐斯的手机:在贝佐斯在电话中被告知他可能被沙特政府窃听后的不久,MBS就通过WhatsApp给他发了一条消息。原文如此说道:“Jeff,所有你听到的或被告知的都不是真的,相信你认识到真相只是时间问题——不论是我还是我背后的沙特阿拉伯都没有做什么。”
FTI报告的发布也引起了两名联合国人权专家的注意,他们呼吁对MBS入侵贝佐斯手机的指控进行进一步调查。与此同时,电话窃听和Khashoggi谋杀案之间的潜在联系似乎并没有在贝佐斯身上消失。
据称,MBS使用WhatsApp与许多知名人士进行交流,包括Boris Johnson、Richard Branson和特朗普总统的女婿Jared Kushner。一位硅谷高管表示,科技行业的其他领袖和高管都对未被发现的攻击感到担忧。毕竟,在2018年4月访问该地区时,MBS会见了其中的几位——包括Sergey Brin、蒂姆·库克和Peter Thiel。
既然它会发生在贝佐斯身上,这意味着它也可能发生在你身上——所以以下是你应该记住的。
在贝佐斯和MBS之间错综复杂的揭秘下,人们很容易将这次信息泄露事件视为又一次高调的黑客攻击。然而,这里值得注意的是,这次黑客攻击发生在WhatsApp内部。对于那些担心自己的信息会被黑客截获的人来说,WhatsApp自称是一个安全的选择。WhatsApp甚至在其FAQ中表示:“保护用户的隐私和安全是我们的天职。”(WhatsApp没有回复记者的置评请求。)
在某种程度上,由于WhatsApp向用户承诺的隐私和安全性,它是世界上最受欢迎的应用之一,截至2018年2月,它在全球拥有约15亿活跃用户。它的主要安全特性是端到端加密,这意味着消息只能在传输过程中被发送方和接收方看到——任何拦截它们的人都会收到一个不可读的加密文件。甚至连WhatsApp都无法读取用户的信息。
然而,正如贝佐斯黑客攻击事件所显示的那样,这一额外的防护层不完全等同于绝对安全。假设报告的结论是正确的,端到端加密工作得很好:FTI无法解密连接到MBS账户发送的文件。但良好的加密技术并没有阻止贝佐斯的手机在视频文件发送后的几周内,向一个恶意的行动者发送千兆字节的数据。
值得指出的是,WhatsApp的默认设置允许贝佐斯的手机自动下载视频文件——以及其中的任何恶意软件。因此,您可以选择退出此功能,以帮助防止类似的事情发生在您身上。
贝佐斯遭黑客攻击的故事似乎令人担忧,但担心安全问题的WhatsApp用户可能还不想删除这款应用。尽管WhatsApp的历史起伏不定,但几位安全专家表示,他们并不认为这款应用存在特别大的问题。
电子前沿基金会网络安全主管Eva Galperin表示:“这并不意味着WhatsApp存在漏洞。当一个值得信任的联系人发送给你一个精心设计的恶意链接时,他们什么也做不了。”
网络安全公司Check Point的安全工程师Maya Levine表示,WhatsApp的缺陷并不严重。这款隶属于Facebook的应用只是一个极具吸引力的存在,而这使得它的漏洞被暴露出来的概率加大。
Levine表示:“这是加密信息,这意味着如果你能成功破解WhatsApp,就能获得大量信息。WhatsApp可能是全球最受欢迎的加密消息应用,正因为如此,它可能更容易成为黑客的目标。但我不会断言它不安全。”
网络安全公司Sophos的首席研究员Paul Ducklin表示,对于普通人来说,最好的应对方法是不要被一种错误的安全感所蒙蔽,不要因为自己不是典型的黑客攻击目标,就以为不会受到黑客攻击。他还表示,即使是带有隐私功能的应用也不是百分百安全的。
Ducklin表示:“不幸的是,在网络犯罪中,没有人是绝对安全的,你使用的软件也不可能百分百没有漏洞。有时人们可以使用了WhatsApp程序或任何同类程序,一旦他们发现它有所有这些加密功能,并且这种加密指的是对你与他人来往内容的加密,他们就会直接假设这些消息以后永远是安全的。我们应当知道,重要的是,不要过于听信一种技术,认为它对你的保护是超过它所真正能做到的。”
虽然,什么情况都不是万无一失的,但你可以做一些事情来降低风险。
“随时更新你的手机操作系统和应用,”Levine说。更新将包含修复缺陷和漏洞的安全补丁,这种更新通常在发现缺陷和漏洞后不久就会推出。
尽管WhatsApp存在安全问题(WhatsApp也不是唯一存在这个问题的加密通讯应用),但Galperin认为用户不应该放弃它。去年5月,她写了一篇关于WhatsApp另一个漏洞的文章,在文中她仍建议人们继续使用端到端的加密信息应用,她说这是“保护信息内容最有效的方式之一”,至少对“大多数人来说是这样的”。
与此同时,Ducklin说,防止敏感信息从你的手机上被窃取的最佳方法同时也是一种由来已久的方法,即把不要敏感信息放出来。再三考虑一下你要分享什么,你要和谁分享。
虽然贝佐斯是因为作为一个独特的、令人满意的黑客攻击目标而面临危机,但即使是一个相当安全的应用,不管是谁,把全部信任都放在一个应用上,都具有一定的危险性。
Ducklin表示:“依靠加密应用无法百分百做到信息安全。”