史上最复杂 Zero-click 攻击：Pegasus 如何靠 GIF 文件骇进 iPhone？

以色列网络情报公司 NSO Group 旗下间谍软件「飞马」（Pegasus）先前遭苹果提告，涉嫌破解 iPhone、读取数据和用户信息，这次谷歌资安团队 Project Zero 研究人员深入研究飞马后，惊呼「这是史上技术最复杂的漏洞之一」，竟是从「GIF 档案」引爆一连串资安危机。

飞马仿佛鬼入侵，没点击就被骇

NSO Group 利用漏洞 ForcedEntry 入侵受害者装置，安装最新版「飞马」，或透过建立 Apple ID 发动「免点击」（Zero-click）攻击，将恶意资料送到受害者设备，即使没有点击任何恶意链接，也能在对方不知情下安装「飞马」软体。

同时，飞马能让黑客远距操作麦克风、镜头，搜集用户信息、电子信箱和信息等敏感信息。

谷歌资安团队 Project Zero 研究人员 Ian Beer 和 Samuel Gross 表示，「我们没见过这种外部利用的漏洞，从如此有限的起点建立同等能力，不需要与攻击者服务器互动，也没有加载 JavaScript 或类似脚本引擎等。资安界许多人认为一次性远距代码执行，无法建立可靠的单次攻击漏洞，但事实证明不但可行，还能有效对付人。」

飞马如何入侵 iPhone？

先要知道的是，飞马入侵 iPhone 的初始入口是 iMessage，所以只要取得目标对象电话号码或 Apple ID 用户名就能入侵。

iMessage 可接收 gif 图档，攻击者做一个「假 GIF」（实际上是 PDF），由于扩展名是 GIF，因此让苹果 CoreGraphics PDF 设计会自动解析假 GIF 文件。

然而 CoreGraphics PDF 解析器不会注意到副档名，而是从内容分析，因此这档案就进入 PDF 的「成像引擎」（rendering engine）。

据谷歌 Project Zero 博客，PDF 有种很古老的压缩格式叫「JBIG2」，是种黑白图像压缩算法，可将扫描进去的 bitmap 压缩到很小，主要是 1990 年代后期 XEROX WorkCenter 扫描器使用。如果用过这种旧款扫描机扫描 PDF，其中 PDF 文件就可能含 JBIG2。

一般来说，档案压缩后需绘制PDF，为了让打印机显示更方便，会有很多压缩和节省流量方法，如是英文或德文等语言编写的文本，会采用重复字母为参考字形（reference glyph），将完整字母变形或替换成稍微看得懂的字形，虽然有变动，但不影响阅读，由于不会保留所有资料，因此储存资料量明显减少。