作者:洪朝貴
2012年在巴林,民運人士收到可疑的e-mail,於是轉交給加拿大多倫多大學的Citizen Lab。C.Lab的專家分析之後,發現這些「偽裝成圖檔的可執行檔」內含FinSpy。它入侵電腦之後,很刻意地隱匿自身行蹤;還特別製造一些陷阱讓除錯器當掉(以便讓分析研究變得更困難);並且針對不同的防毒軟體(甚至同一套軟體的不同版本)採取不同的攻擊手段。它竊取的資料包含螢幕快照、鍵盤輸入側錄、skype通話側錄、各廠牌的即時通密碼、各廠牌瀏覽器所儲存的密碼。FinSpy會把偷到的資料先加密,再傳回某些伺服器,並隨時等候伺服器發出指令。令人不安的是:這隻神秘的竊聽軟體竟然獲得蘋果電腦、Nokia、RIM(出黑莓機的公司)等等手機大廠某種程度的認證。中文只找到一則簡短報導;本文主要摘要C.Lab一系列文章報導一下這一系列的重要舊聞。
事實上早在2011年,維基解密的Spyfiles就已揭露:德國公司Gamma International的英國分公司有一項產品FinFisher專門賣木馬軟體給各國政府。Gamma宣稱這是要用來協助政府打擊罪犯的工具。政府如果在某人的電腦與手機當中植成功地植入FinSpy(FinFisher其中的一個元件),就可以遠端監視/監聽/控制他的電腦/手機。但因為一般人無從(有意識地)取得/得知自己的手機是否受感染,所以網路上甚少關於它的技術資料。隨著C.Lab刊出電腦版的分析,各國許多爭取民主人權的異議人士發現類似可疑的樣本時,便寄給他們分析。於是在2012年8月,C.Lab又發表另一份分析手機版FinSpy的報告。
iOS版的開發者Martin Muench正是Gamma的總監;iOS版的程式碼甚至獲得蘋果電腦的認證(含有Apple Root CA、Apple Worldwide Developer Relations Certification Authority、以及Martin Muench的簽章)它會竊取通話記錄、通訊錄、手機位置、簡訊、手機的IMEI/MSI (類似手機的身份證字號)等等資訊。
C.Lab拿到的Android版似乎還在測試當中。安裝後,它自稱是「Android Services」。它索求的權限包含:取得手機位置、讀取通訊錄、讀收/寫/寄簡訊、連網、藍芽等等。因為它似乎隱藏了一些資訊,分析很有限。後來另有資安專家的分析向前推進一小步。
Symbian版(舊的Nokia手機的作業系統)索求了TrustedUI權限。令人好奇的是:Nokia開發者手冊裡提到:「TrustedUI鮮少用到。只有在極機密與安全的情況下才應用到它──例如輸入密碼的對話框。與使用者一般的互動並不需要用到它。」它獲得Cyan Engineering Services SAL(offshore)的Symbian CA I。(Symbian的某種認證吧)
黑莓機版的檔案獲得官方三個簽章(RBB/RCR/RRT),具有處理Apps、使用加解密函式庫、存取簡訊等等權限。C.Lab仔細研究,發現這個版本有一個「SpyCall」功能:控制中心可以偷偷打電話進來,仿佛是在通話狀況下一樣聽到手機持有人身邊的聲音。除了監聽黑莓機自身的BBM messages之外,也側錄e-mail、WhatsApp(含畫面快照)
Windows Mobile版似乎是demo版,但也含有GPS、通話記錄、通訊錄等等多種監聽/監視功能。
一些伺服器(command & control servers)專門負責蒐集這些竊聽/側錄資訊以及送出命令。C.Lab指出:前前後後偵側到的伺服器(有些已離線)總共出現在36個國家。這些國家並不必然就等於使用FinFisher的政府──例如其中有一部是Amazon EC2上面,商業出租的虛擬主機。
但另一方面,諸如位於土庫曼通訊部的主機、位於巴林/新加坡/汶萊/印尼/衣索比亞/蒙古/阿聯各國電信公司的主機,至少跟地主國的關係可能就非常密切了。其他報告進一步顯示:除了踐踏人權的巴林政府可能已向Gamma購買FinFisher之外,先前埃及獨裁者穆巴拉克也有意購買。
在墨西哥,「政府使用FinFisher」一事同時也扯上浮報價格貪腐醜聞。人權團體透過資訊透明法(聽說臺灣也有「陽光法案」,可是我怎麼從來沒聽說過它曾被成功拿來揭弊?)要求政府釋出相關資訊。現在墨西哥政府已承認有在使用,而人權團體也正在持續施壓要求政府全面調查。C.Lab今年3月的報告特別分析衣索比亞跟越南的案例,指出FinFisher似乎經常被人權評等有問題的政府拿來跟監異議人士。4月的報告當中提到:有一個馬來語的版本似乎是針對馬來西亞今年5月的大選所設計的。
FinFisher甚至假冒firefox名義入侵電腦,導致Mozilla跳腳警告Gamma。Gamma International也在今年被無國界記者列為網路五大公敵之一。
搜尋「finfisher detection」可以找到一些聲稱具有偵測能力的軟體,但因為沒有原始碼,我個人不推薦使用。搜尋「finfisher samples」沒找到樣本。可以想像的是:這36個國家很多民眾的手機可能已中鏢,但因為它不像病毒明顯搞破壞,又能躲過防毒軟體,所以大家都沒察覺。好可惜,先前替馬總統上監聽課的時候,還沒讀過這麼多關於FinFisher的詳細報導。不過也很難講,馬總統身邊那麼多人才,其中如果有些人被賦予重要任務、比貴哥更密切關心監聽技術,這也大有可能啊…(本文轉載自資訊人權貴ㄓ疑)