谷歌威脅分析小組（TAG）透露，去年解決的一些零日漏洞被商業間諜軟件供應商利用，以Android和iOS設備為目標。

這兩個不同的活動都有很強的針對性，利用補丁發布與目標設備上實際修復之間的時間差。

TAG  Clement Lecigne在報告中指出，這些供應商通過擴散具有攻擊性的工具，來武裝那些無法在內部開發這些能力的政府及組織。

根據國家或國際法律，雖然部分監控技術的使用是合法的，但人們經常發現，有關政府利用這些技術來監控不同政見者、記者、人權工作者和反黨人士。

這兩次惡意活動，第一次發生在2022年11月，通過短信向位于意大利、馬來西亞和哈薩克斯坦的用戶發送短鏈接。點擊后，這些URL將收件人重定向到承載安卓或iOS漏洞的網頁，然后他們又被重定向到合法的新聞或貨運追蹤網站。

iOS的漏洞鏈利用了多個漏洞，包括CVE-2022-42856（當時的零日）、CVE-2021-30900和一個指針認證代碼（PAC）繞過，將一個.IPA文件安裝到易受影響的設備上。

安卓系統的漏洞鏈包括三個漏洞--CVE-2022-3723、CVE-2022-4135（濫用時為零日）和CVE-2022-38181以傳遞一個未指定的有效載荷。

雖然CVE-2022-38181是一個影響Mali GPU內核驅動的特權升級漏洞，在2022年8月被Arm打了補丁，但對方可能在補丁發布之前已經掌握了該漏洞的利用方法。

另一點值得注意的是，在三星瀏覽器中打開鏈接的安卓用戶，會被重新定向到Chrome。

第二個活動是在2022年12月觀察到的，包括幾個針對三星瀏覽器最新版本的零日和n日，這些漏洞通過短信作為一次性鏈接發送到位于阿聯酋的設備。

該網頁與西班牙間諜軟件公司Variston IT使用的網頁類似，都植入了一個基于C++的惡意工具包，能夠從聊天和瀏覽器應用程序中獲取數據。

被利用的漏洞包括CVE-2022-4262、CVE-2022-3038、CVE-2022-22706、CVE-2023-0266和CVE-2023-26083。

目前，這兩個活動的規模和目標還不清楚。

在拜登簽署“限制使用商業間諜軟件”的行政命令幾天后，這些消息就被披露出來。足以見得，商業間諜軟件行業任然在蓬勃發展。監控供應商之間正在分享漏洞和技術，即使是較小的監控供應商也能獲得零日漏洞。供應商秘密儲存和使用零日漏洞在短時間內對互聯網仍構成嚴重的風險。

參考鏈接：thehackernews.com/2023/03/spyware-vendors-caught-exploiting-zero.html