駭客盛典「天府杯」陰謀:中國入侵 iPhone 祕密監控維吾爾族

作者 | 發布日期 2021 年 05 月 07 日 16:30 | 分類 iPhone , 中國觀察 , 資訊安全 Telegram share ! follow us in feedly


新疆維吾爾族集中營不斷引發爭議,各國譴責聲不斷,中國則強調是為了打擊恐怖主義和極端主義,讓外界霧裡看花。而中國在 2018 年自創的一場駭客賽事「天府杯」,竟可能暗藏一連串與新疆爭議有關的陰謀。

首先從全球白帽駭客盛事「Pwn2Own」講起,這個賽事主要吸引各國菁英駭客參加,旨在找出以前從未發現的軟體漏洞,將詳細資訊交給相關公司,讓他們有時間修復,駭客就能拿到一筆獎金。中國駭客一直是「Pwn2Own」菁英之一,長期贏得數百萬美元獎金,但到 2017 年,一切都停止了。

因中國網路安全服務公司「奇虎 360」創辦人周鴻禕公開批評參加者,認為駭客跟這些知識應該留在中國,才能了解軟體漏洞的重要性和「戰略價值」,這個論點也被中國當局採納。過不久,中國禁止網路安全研究人員參加海外駭客競賽,取而代之的是,中國本土網路安全競賽「天府杯」推出,獎品總計超過 100 萬美元。

首屆「天府杯」於 2018 年 11 月舉行,最大獎由奇虎 360 旗下的研究人員趙奇勳奪得,他發表一系列漏洞利用的方法,使他能輕鬆控制最新型 iPhone。

趙奇勳發現,可從 Safari 瀏覽器為突破點,由於 iPhone 操作系統的內核有缺陷,只要訪問藏有他編寫過的惡意代碼的網頁,遠距駭客就能接管任何 iPhone;他也將漏洞利用程式稱為「混亂」(Chaos),這能使犯罪分子或政府監視大量的人民。

2019 年 1 月,也就是天府杯賽事結束 2 個月後,蘋果發布修補該漏洞的更新程式。但在同年 8 月,Google 發布一份針對駭客活動的詳盡分析,指出有心人士正在大規模利用 iPhone 監視他人,研究人員偵測到 5 個獨特的漏洞開發鏈,包括趙奇勳當初贏得天府杯的漏洞利用程式。

Google 研究人員說這些攻擊與「混亂」有些相似,卻忘記提及受害者是維吾爾族、駭客是中國政府的事實。

中國藉 iPhone 安全漏洞攻擊維吾爾族

中國政府對維吾爾族的駭客攻擊相當激進,還遍布全球,範圍包括記者、不同意見者,以及任何令當局懷疑忠心程度的人。Google 發出駭客報告後,媒體也開始報導,中國駭客藉由 iPhone 安全漏洞攻擊維吾爾族,跟中國政府也有合作關係。之後,蘋果證實遇駭時間長達 2 個月以上,也就是從趙奇勳獲得天府杯首獎後,到蘋果發布修復方案為止。

根據《麻省理工科技評論》(MIT Technology Review)報導,是美國監視單位發現收集駭客攻擊維吾爾人的漏洞詳細訊息,再通知蘋果,不過蘋果和 Google 都拒絕對此事發表評論。

美國政府認為,中國同意奇虎 360 提出的「戰略價值」計畫,當時蘋果漏洞已迅速轉交給中國情報部門,並利用監視維吾爾族。針對此事,奇虎 360 和天府杯沒有回應,趙奇勳則堅決否認參與。

美國資安專家 Adam Segal 表示,中國不允許駭客出國參加比賽,似乎是希望漏洞消息留在中國內部,同時從收入來源控制中國的頂尖駭客,使他們必須跟國家合作。

天府跟中國軍方恐有掛勾

令人擔心的是,天府杯至今邁入第三年,贊助商包括中國科技巨頭阿里巴巴、百度、奇虎 360 等大公司,讓美國政府擔心這些賽事跟中國軍方有掛勾。

奇虎 360 市值超過 90 億美元,由於美國商務部評估涉及中國政府軍事採購業務,列入出口管制黑名單之一。據悉,協助組織天府杯的北京公司天融信 Topsec,為政府提供駭客培訓、服務和招聘,還會僱用民族主義駭客;另外也跟 2015 年醫療保險公司 Anthem 遭中國駭客入侵事件有關。

天府杯其他贊助商跟組織,像綠盟科技 NSFocus、Venus Tech 也都跟駭客攻擊活動脫離不了關係。另一個值得留意的公司是中國電子科技集團,其中一個子公司為海康威視,負責提供「維吾爾語分析」和「臉部辨識工具」,2019 年也列入美國貿易黑名單。

天府杯、監視維吾爾族和種族滅絕等的連結證明,早點發現「bug」可能是一種有力的武器。像今年初,中國駭客利用 Exchange 伺服器漏洞,成功入侵上萬企業與政府單位,所幸台灣漏洞防護公司 DEVCORE 及早發現,將問題傳給微軟,才能讓微軟比原定計劃提前兩週趕出修復程式。

(首圖來源:pixabay