情報 駭客盛典「天府杯」陰謀:中國入侵 iPhone 祕密監控維吾爾族【情報來源】
原網址:
https://technews.tw/2021/05/07/how-china-turned-a-prize-winning-iphone-hack-agai
nst-the-uyghurs/
短網址:
https://reurl.cc/0DAo4M
【情報內容】
新疆維吾爾族集中營不斷引發爭議,各國譴責聲不斷,中國則強調是為了打擊恐怖主義和極
端主義,讓外界霧裡看花。而中國在 2018 年自創的一場駭客賽事「天府杯」,竟可能暗藏
一連串與新疆爭議有關的陰謀。
首先從全球白帽駭客盛事「Pwn2Own」講起,這個賽事主要吸引各國菁英駭客參加,旨在找
出以前從未發現的軟體漏洞,將詳細資訊交給相關公司,讓他們有時間修復,駭客就能拿到
一筆獎金。中國駭客一直是「Pwn2Own」菁英之一,長期贏得數百萬美元獎金,但到 2017
年,一切都停止了。
因中國網路安全服務公司「奇虎 360」創辦人周鴻禕公開批評參加者,認為駭客跟這些知識
應該留在中國,才能了解軟體漏洞的重要性和「戰略價值」,這個論點也被中國當局採納。
過不久,中國禁止網路安全研究人員參加海外駭客競賽,取而代之的是,中國本土網路安全
競賽「天府杯」推出,獎品總計超過 100 萬美元。
首屆「天府杯」於 2018 年 11 月舉行,最大獎由奇虎 360 旗下的研究人員趙奇勳奪得,
他發表一系列漏洞利用的方法,使他能輕鬆控制最新型 iPhone。
趙奇勳發現,可從 Safari 瀏覽器為突破點,由於 iPhone 操作系統的內核有缺陷,只要訪
問藏有他編寫過的惡意代碼的網頁,遠距駭客就能接管任何 iPhone;他也將漏洞利用程式
稱為「混亂」(Chaos),這能使犯罪分子或政府監視大量的人民。
2019 年 1 月,也就是天府杯賽事結束 2 個月後,蘋果發布修補該漏洞的更新程式。但在
同年 8 月,Google 發布一份針對駭客活動的詳盡分析,指出有心人士正在大規模利用 iPh
one 監視他人,研究人員偵測到 5 個獨特的漏洞開發鏈,包括趙奇勳當初贏得天府杯的漏
洞利用程式。
Google 研究人員說這些攻擊與「混亂」有些相似,卻忘記提及受害者是維吾爾族、駭客是
中國政府的事實。
中國藉 iPhone 安全漏洞攻擊維吾爾族
中國政府對維吾爾族的駭客攻擊相當激進,還遍布全球,範圍包括記者、不同意見者,以及
任何令當局懷疑忠心程度的人。Google 發出駭客報告後,媒體也開始報導,中國駭客藉由
iPhone 安全漏洞攻擊維吾爾族,跟中國政府也有合作關係。之後,蘋果證實遇駭時間長達
2 個月以上,也就是從趙奇勳獲得天府杯首獎後,到蘋果發布修復方案為止。
根據《麻省理工科技評論》(MIT Technology Review)報導,是美國監視單位發現收集駭
客攻擊維吾爾人的漏洞詳細訊息,再通知蘋果,不過蘋果和 Google 都拒絕對此事發表評論
。
美國政府認為,中國同意奇虎 360 提出的「戰略價值」計畫,當時蘋果漏洞已迅速轉交給
中國情報部門,並利用監視維吾爾族。針對此事,奇虎 360 和天府杯沒有回應,趙奇勳則
堅決否認參與。
美國資安專家 Adam Segal 表示,中國不允許駭客出國參加比賽,似乎是希望漏洞消息留在
中國內部,同時從收入來源控制中國的頂尖駭客,使他們必須跟國家合作。
天府跟中國軍方恐有掛勾
令人擔心的是,天府杯至今邁入第三年,贊助商包括中國科技巨頭阿里巴巴、百度、奇虎 3
60 等大公司,讓美國政府擔心這些賽事跟中國軍方有掛勾。
奇虎 360 市值超過 90 億美元,由於美國商務部評估涉及中國政府軍事採購業務,列入出
口管制黑名單之一。據悉,協助組織天府杯的北京公司天融信 Topsec,為政府提供駭客培
訓、服務和招聘,還會僱用民族主義駭客;另外也跟 2015 年醫療保險公司 Anthem 遭中國
駭客入侵事件有關。
天府杯其他贊助商跟組織,像綠盟科技 NSFocus、Venus Tech 也都跟駭客攻擊活動脫離不
了關係。另一個值得留意的公司是中國電子科技集團,其中一個子公司為海康威視,負責提
供「維吾爾語分析」和「臉部辨識工具」,2019 年也列入美國貿易黑名單。
天府杯、監視維吾爾族和種族滅絕等的連結證明,早點發現「bug」可能是一種有力的武器
。像今年初,中國駭客利用 Exchange 伺服器漏洞,成功入侵上萬企業與政府單位,所幸台
灣漏洞防護公司 DEVCORE 及早發現,將問題傳給微軟,才能讓微軟比原定計劃提前兩週趕
出修復程式。
心得 :
個人目前是更新到了ios 14.4.2,有修復瀏覽器惡意代碼的漏洞,這篇給大家參考一下,
https://inf.news/zh-tw/digital/ef05e856e24390fff2cf0b4f9de8d72c.html
防範未然,畢竟對面現在開始打一些資訊戰,ios系統上的漏洞已經變"戰略物資"了...
只是本來越獄又變入獄,有點難熬xD