商业监控供应商对Google产品的威胁

关键要点

• Google 报告指出，商业监控供应商（CSV）负责近 50% 针对 Google 产品的已知零日漏洞。
• CSVs 的存在增加了针对普通公民和商业人士的间谍软件威胁。
• 从2014年中到2023年，安全研究人员发现72个针对Google产品的零日漏洞，其中35个归因于CSV。
• 间谍软件的可获取性使得越来越多的威胁行为者涌现，给安全社区带来了严峻挑战。

Google 于周二发布了一份报告，指出商业监控供应商（CSVs）在近50% 针对 Google 产品的已知零日漏洞中扮演了重要角色。这一消息突显了
CSVs 的日益猖獗以及间谍软件对普通公民、商人、知名记者和政治家的潜在威胁。

根据 Google 的 ，从2014年中至2023年，安全研究人员在野外发现了72个影响
Google 产品的零日漏洞，其中 Google 威胁分析组（TAG）将35个零日漏洞归因于 CSVs。

“商业监控行业已崛起于一个利润丰厚的市场：向各国政府出售先进技术，以利用消费设备和应用中的漏洞，秘密安装间谍软件。” Google 的研究人员写道。
“商业监控供应商（CSVs）正在促进危险黑客工具的传播。”

SentinelOne 的首席安全顾问 Morgan Wright 表示，Google的新信息意味着任何地方的任何人都有可能面临风险。移动计算的普及以及零日漏洞的不断发现意味着，间谍软件市场将继续繁荣，因为对这些能力的需求仍然存在。

Wright进一步表示，最令人担忧的是，曾经是国家级情报机构特有的间谍软件能力，现在已经可供任何拥有足够资金的人购买。“威胁行为者的数量将呈指数增长，使得识别和防范这些威胁变得非常具有挑战性，”Wright说。“对安全社区而言，这意味着没有休息的机会。攻击向量将实时变化，每当一个威胁出现、被识别并处理后，将会有更多的新威胁取而代之。这将迫使安全团队在开放平台和封闭平台之间做出艰难选择。为了获得更多的自由和安全，可能需要更严格的控制。”

Interpres 的威胁情报工程师 Marina Liang表示，间谍软件在网络间谍和针对目标人群的监视中极具盈利性，因此不会很快消失。她指出，间谍软件在大型监控活动中起到了关键作用，尤其是在针对持不同政见者、记者和少数群体的行动中。然而，Linang也指出，确保移动设备的安全在实践中非常困难，除非阻止个人前往任何已知利用间谍软件的国家，或者防止在国外旅行时使用移动电话。

“这两种选择都不可行，甚至不可能实施，”Liang 说。“我们看到中国通过在无意中的游客 Android
手机上安装间谍软件应用程序，针对维吾尔族和穆斯林的运动：敏感信息如电子邮件、联系人和文本被利用来追踪位置或标记与穆斯林相关的关键词。在这一运动中，针对位于中国及邻国的穆斯林，可能会将个人视为间接目标，间谍软件的使用面临更为广泛的区域。”

Jamf 的副总裁 Michael Covington补充道，最近对商业间谍软件的分析显示，这不再是单一威胁行为者的领域，而是一个各种利益方组成的复杂生态系统，目标一致，悄然破坏许多人日常工作中依赖的硬件和软件工具。

Covington 强调，为了有效应对这一不断增长且已存在的重大威胁，美国政府需要进行广泛的努力，建立一个致力于制止这些工具的社区。

“激励透明度、鼓励安全共享安全事件细节，以及通过制裁和立法采取措施，都是建立对抗这些威胁行为者的有效运动所必需的