网络安全研究人员指出,中国当局正在使用一种新型恶意软件来提取被扣押手机中的数据,从而获取文本信息,包括来自聊天应用程序(如 Signal)的信息、图片、位置信息、音频记录、联系人等内容。
本周三,移动网络安全公司 Lookout 发布了一份新报告,报告中详细介绍了名为 Massistant 的黑客工具。 Lookout 表示,该工具由中国科技巨头厦门美亚皮革公司开发。
根据 Lookout 的说法,Massistant 是用于从移动电话中进行法医数据提取的安卓软件,这意味着使用该工具的当局需要对这些设备进行物理访问。
虽然 Lookout 并不知道具体是哪些中国警方机构在使用这个工具,但其使用情况被认为是广泛的,因此,无论是中国居民还是游客在前往中国时,都应当意识到该工具的存在及其带来的风险。
Lookout 研究员 Kristina Balaam 在报告发布前向 TechCrunch 表示:“这是一项重大的担忧。我认为任何前往该地区的人都应该意识到,他们带入国家的设备可能会被查扣,且其中的所有信息都可能被收集。”
Balaam 在中国的本地论坛上发现了一些帖子,许多人在与警方接触后发现他们的设备中安装了该恶意软件。
Balaam 表示:“根据我在这些中国论坛上看到的动静,它似乎被广泛使用。”
该恶意软件必须安装在解锁的设备上,并与连接到台式计算机的硬件设备配合使用,关于这一系统的描述和图片出现在厦门美亚皮革公司的官方网站上。
Balaam 指出,Lookout 不能对桌面组件进行分析,也无法找到与苹果设备兼容的恶意软件版本。厦门美亚皮革公司在其网站的一幅插图中展示了连接到其法医硬件设备的 iPhone,这表明该公司可能拥有用于提取苹果设备数据的 Massistant iOS 版本。
据 Balaam 介绍,警方使用 Massistant 不需要复杂的技术,比如利用零日漏洞——未向供应商公开的硬件或软件缺陷,因为“人们只是自愿交出手机。”
根据她在中国论坛上看到的信息,自 2024 年以来,中国国家安全警方已获得法律权限,可以在没有搜查令或进行活跃刑事调查的情况下搜索手机和计算机。
Balaam 表示:“如果有人在边境检查站过境并被查扣设备,他们必须允许对其进行访问。” “我认为我们并没有看到来自法律拦截工具领域的真正攻击,因为他们并不需要这样做。”
值得庆幸的是,Balaam 表示,Massistant 在被查扣的设备上留下了其侵扰的证据,这意味着用户可以通过发现并删除恶意软件来识别其存在,或者使用更高级的工具,如 Android 调试桥(一种通过电脑连接设备的命令行工具)。
不幸的是,在安装 Massistant 时,损害已经发生,警方已经获得了用户的数据。
According to Lookout, Massistant 是厦门美亚皮革公司在 2019 年分析的类似移动取证工具 MSSocket 的继任者。
厦门美亚皮革公司在中国数字取证市场中占有 40% 的份额,并因其向中国政府提供技术而在 2021 年受到美国政府的制裁。
该公司没有回应 TechCrunch 的置评请求。
Balaam 表示,Massistant 只是中国监控技术制造商所研发的众多间谍软件或恶意软件中的一员,她称之为“一个庞大的生态系统”。这位研究员表示,她的团队在中国追踪到了至少 15 个不同的恶意软件家族。
图片源于:techcrunch