今年，一位塞尔维亚记者和一名活动家的手机被当地执法机构利用法医工具制造商Cellebrite生产的手机解锁设备进行了黑客攻击。

据人权组织 Amnesty International 的最新报告，当局不仅试图通过Cellebrite的工具解锁手机以访问个人数据，还安装了间谍软件以进行进一步监视。

Amnesty International 在其报告中表示，这些是“首次通过使用Cellebrite工具进行的法医记录间谍软件感染事件”。

这种简单但有效的技术是政府利用间谍软件监视公民的一种方式。

在过去十年中，组织如Amnesty和数字权利组织Citizen Lab已经记录了多起政府使用来自西方监控技术供应商（如NSO Group、Intellexa和已倒闭的间谍软件先锋Hacking Team）的高级间谍软件远程攻击异见者、记者和政治对手的案例。

随着零日漏洞和远程植入的间谍软件因安全改进而变得更加昂贵，执法机构可能不得不依赖更不复杂的手段，例如获取他们想要攻击的手机。

尽管世界各地发生了许多滥用间谍软件的案例，但美国也不例外。

据Forbes报道，在2019年11月，美国国土安全部移民与海关执法局（ICE）花费了2000万美元购买包括Cellebrite在内的电话黑客和监控工具。

鉴于当选总统唐纳德·特朗普承诺的大规模驱逐行动，专家们担心ICE将在新政府上任后增加其监视活动。

早期间谍软件简史

历史往往重演。

即使在新事物（或未记录的事物）首次出现时，也可能是已经发生过的某事的一种迭代。

二十年前，在反病毒行业尚未充分了解政府间谍软件的情况下，将物理间谍软件植入目标计算机是警察访问其通信的方式。

执法机构需要对目标设备有物理访问权限——有时是通过闯入其住所或办公室——然后手动安装间谍软件。

早期，在2001年，FBI闯入黑帮头目尼科德莫·斯卡福夫的办公室，并植入了一种旨在监控斯卡福夫键盘输入以窃取他加密电子邮件密钥的间谍软件。

这些技术正在重新流行起来，并非出于必要性。

Citizen Lab 在2024年初记录了一起案例：俄罗斯情报机构FSB疑似在反对派政治活动家Kirill Parubets被羁押期间在其手机上安装了间谍软件。

Parubets自2022年起一直生活在乌克兰。

俄罗斯当局在Parubets提供手机密码之前就安装了能够访问其私人数据的间谍软件。

搜查与检查

在最近发生在塞尔维亚的案件中，Amnesty International 发现了一种新型间谍软件安装在记者Slaviša Milanov和青年活动家Nikola Ristić的手机上。

在今年二月，当地警方对Milanov进行了一次看似例行交通检查。

之后他被带到警局，在接受询问时他的Xiaomi Redmi Note 10S Android手机被警方拿走，根据Amnesty International的说法。

Milanov后来发现了一些奇怪的事情：

“我发现我的移动数据（数据传输）和Wi-Fi都已关闭。

我的手机应用程序中的移动数据始终处于开启状态。

这是我第一次怀疑有人进入了我的手机。

”Milanov在接受TechCrunch采访时说。

Milanov使用StayFree这款跟踪应用程序发现，“当手机被认为关机且在警方手中时有很多应用程序活跃”。

他说警方从未要求或强迫他提供手机密码。

“这段时间里他们从我的手机中提取了1.6GB的数据。

”Milanov说。

Milanov当时感到“很不舒服且非常生气”，并认为他的隐私权受到了侵犯。

他联系了Amnesty International 对自己的手机进行了法医检查。

Amnesty International 安全实验室负责人Donncha Ó Cearbhaill分析了Milanov的手机，并确认它已被Cellebrite解锁，并安装了名为NoviSpy（塞尔维亚语中的“新”）的Android间谍软件。

广泛用于民间社会

Amnesty International 对NoviSpy间谍软件及其一系列操作安全错误（OPSEC）失误的分析表明，塞尔维亚情报部门可能是该间谍软件的研发者。

Amitiey 报告称，该间谍软件用于系统地、隐蔽地感染被捕、拘留或某些情况下与民间社会成员进行信息访谈期间使用的移动设备。

“在多起案件中，逮捕或拘留似乎是为了实现隐蔽地访问个人设备以提取数据或感染设备的目的。

”

Amitiey 认为NoviSpy很可能是在该国开发的，因为代码中有塞尔维亚语评论和字符串，并且它被编程为与塞尔维亚服务器通信。

根据Amitiey 的报告，在一次错误中塞尔维亚当局允许研究人员将NoviSpy与塞尔维亚国家安全信息局（BIA）及其服务器关联起来。

Amitiey 的研究人员发现NoviSpy设计用于与特定IP地址通信：195.178.51.251。

早在2015年，该IP地址就与塞尔维亚BIA的一名特工相关联。

Citizen Lab 发现该IP地址当时在Shodan上自我标识为“DPRODAN-PC”。

实际上，“dprodan”邮箱地址的人曾在2012年2月与Hacking Team关于演示联系过。

据泄露邮件显示，Hacking Team 公司员工于同年在塞尔维亚首都贝尔格莱德进行了演示。

“dprodan”也被认为是BIA员工。

Citizen Lab 在2015年识别出同一IP地址范围（195.178.51.xxx）仍然与BIA相关联。

Amitiey 称他们发现BIA官方网站最近托管在此IP范围内。

Amitiey 对塞尔维亚民间社会成员进行了法医分析（大多数是Android用户），发现了其他受NoviSpy感染的人。

据Amitiey 称，在一些线索表明BIA和塞尔维亚警察一直在广泛使用它。

当TechCrunch 联系时，BIA 和塞内尔内政部没有回应评论请求。

（塞内尔内政部监管塞内尔警察）

NoviSpy 代码包含Amitiey 研究人员认为可能是递增用户ID的部分，在一名受害者的情况下为621；另一名约一个月后受感染的人数字高于640，表明当局在这段时间内感染了超过20人。

Amitiey 的研究人员称他们在VirusTotal上发现了日期为2018年的NoviSpy版本,表明恶意软件开发了几个月的时间。

作为对塞内尔使用间的调查的一部分,Amitiey 还识别出针对一名塞内尔活动家使用的Qualcomm芯片组零日漏洞利用,很可能借助Cellebrite实现。

Qualcomm 在十月宣布修复了这一漏洞,随后 Amitiey 发现此漏洞。

当联系时,Cellebrite 的发言人 Victor Cooper 表示,公司的工具不能用于安装恶意软件,“第三方必须完成这项工作”。

Cellebrite 的发言人拒绝提供客户细节,但补充说公司会进一步调查。

“如果塞内尔违反最终用户协议,我们将重新评估他们是否是我们业务中的那一百个国家之一。

”