德國出品竊聽技術大拍賣： FinFisher 幫助各國政府監視/側錄異議人士行蹤及通話

2013/11/26 |

| 標籤：

Fin Fisher — 政府監控民眾的工具

2012 年在巴林，民運人士收到可疑的 e-mail，於是轉交給加拿大多倫多大學的 Citizen Lab。 C.Lab 的專家分析之後，發現這些「偽裝成圖檔的可執行檔」內含 FinSpy。它入侵電腦之後，很刻意地隱匿自身行蹤；還特別製造一些陷井讓除錯器當掉（以便讓分析研究變得更困難）；並且針對不同的防毒軟體（甚至同一套軟體的不同版本）採取不同的攻擊手段。它竊取的資料包含螢幕快照、鍵盤輸入側錄、 skype 通話側錄、各廠牌的即時通密碼、各廠牌瀏覽器所儲存的密碼。 FinSpy 會把偷到的資料先加密，再傳回某些伺服器，並隨時等候伺服器發出指令。令人不安的是：這隻神秘的竊聽軟體竟然獲得蘋果電腦、 Nokia、 RIM （出黑莓機的公司）等等手機大廠某種程度的認證。中文只找到一則簡短報導；本文主要摘要 C.Lab 一系列文章報導一下這一系列的重要舊聞。

事實上早在 2011 年，維基解密的 Spyfiles 就已揭露：德國公司 Gamma International 的英國分公司有一項產品 FinFisher 專門賣木馬軟體給各國政府。 Gamma 宣稱這是要用來協助政府打擊罪犯的工具。政府如果在某人的電腦與手機當中植成功地植入 FinSpy （FinFisher 其中的一個元件），就可以遠端監視/監聽/控制他候電腦/手機。但因為一般人無從（有意識地）取得/得知自己的手機是否受感染，所以網路上甚少關於它的技術資料。隨著 C.Lab 刊出電腦版的分析，各國許多爭取民主人權的異議人士發現類似可疑的樣本時，便寄給他們分析。於是在 2012 年 8 月， C.Lab 又發表另一份分析手機版 FinSpy 的報告。

iOS 版的開發者 Martin Muench 正是 Gamma 的總監； iOS 版的程式碼甚至獲得蘋果電腦的認證（含有 Apple Root CA、 Apple Worldwide Developer Relations Certification Authority、以及 Martin Muench 的簽章）它會竊取通話記錄、通訊錄、手機位置、簡訊、手機的 IMEI/IMSI （類似手機的身份證字號）、 … 等等資訊。

C.Lab 所拿到的 Android 版似乎還在測試當中。安裝之後，它自稱是「Android Services」。它索求的權限包含：取得手機位置、讀取通訊錄、讀/收/寫/寄簡訊、連網、藍芽、 … 等等。因為它似乎隱藏了一些資訊，分析很有限。後來另有資安專家的分析向前推進一小步。

Symbian 版（舊的 Nokia 手機的作業系統）索求了 TrustedUI 權限。令人好奇的是： Nokia 開發者手冊裡提到：「Trusted UI 鮮少用到。只有在極機密與安全的情況下才應用到它 — 例如輸入密碼的對話框。與使用者一般的互動並不需要用到它。」它獲得 Cyan Engineering Services SAL （offshore）的 Symbian CA I。（Symbian 的某種認證吧）

黑莓機版的檔案獲得官方三個簽章（RBB/RCR/RRT），具有處理 apps、使用加解密函式庫、存取簡訊等等權限。 C.Lab 仔細研究，發現這個版本有一個 “SpyCall" 功能：控制中心可以偷偷打電話進來，仿佛是在通話狀況下一樣聽到手機持有人身邊的聲音。除了監聽黑莓機自身的 BBM messages 之外，也側錄 e-mail、 WhatsApp （含畫面快照）

Windows Mobile 版似乎是 demo 版，但也含有 GPS、通話記錄、通訊錄、 … 等等多種監聽/監視功能。

曾出現過 FinFisher 伺服器的國家

一些伺服器（command & control servers）專門負責蒐集這些竊聽/側錄資訊以及送出命令。 C.Lab 指出：前前後後偵側到的伺服器（有些已離線）總共出現在 36 個國家。這些國家並不必然就等於使用 FinFisher 的政府 — 例如其中有一部是 Amazon EC2 上面，商業出租的虛擬主機。但另一方面，諸如位於土庫曼通訊部的主機、位於巴林/新加坡/汶萊/印尼/衣索比亞/蒙古/阿聯各國電信公司的主機，至少跟地主國的關係可能就非常密切了。其他報告進一步顯示：除了踐踏人權的巴林政府可能已向 Gamma 購買 FinFisher 之外，先前埃及獨裁者穆巴拉克也有意購買。在墨西哥，「政府使用 FinFisher」一事同時也扯上浮報價格貪腐醜聞。人權團體透過資訊透明法（聽說臺灣也有「陽光法案」，可是我怎麼從來沒聽說過它曾被成功拿來揭弊？）要求政府釋出相關資訊。現在墨西哥政府已承認有在使用，而人權團體也正在持續施壓要求政府全面調查。 C.Lab 今年三月的報告特別分析衣索比亞跟越南的案例，指出 FinFisher 似乎經常被人權評等有問題的政府拿來跟監異議人士。四月的報告當中提到：有一個馬來語的版本似乎是針對馬來西亞今年五月的大選所設計的。

FinFisher 甚至假冒 firefox 名義入侵電腦，導致 Mozilla 跳腳警告 Gamma。 Gamma International 也在今年被無國界記者列為網路五大公敵之一。

搜尋「finfisher detection」可以找到一些聲稱具有偵測能力的軟體，但因為沒有原始碼，我個人不推薦使用。搜尋「finfisher samples」沒找到樣本。可以想像的是：這 36 個國家很多民眾的手機可能已中鏢，但因為它不像病毒明顯搞破壞，又能躲過防毒軟體，所以大家都沒察覺。好可惜，先前替馬總統上監聽課的時候，還沒讀過這麼多關於 FinFisher 的詳細報導。不過也很難講，馬總統身邊那麼多人才，其中如果有些人被賦予重要任務、比貴哥更密切關心監聽技術，這也大有可能啊…

(本文轉載自資訊人權貴ㄓ疑)