苹果公司警告漏洞开发者称，其iPhone曾遭受政府间谍软件攻击

今年早些时候，一名开发者被其个人手机上的一条消息震惊："苹果检测到您的iPhone遭到了有针对性的雇佣间谍软件攻击。"

"我当时很恐慌，"杰伊·吉布森(Jay Gibson)告诉TechCrunch，他要求不要使用他的真实姓名，因为他担心遭到报复。

吉布森直到最近还为西方政府黑客工具制造商Trenchant(坚锐公司)开发监控技术，他可能是第一个有记录的案例：开发漏洞利用程序和间谍软件的人自己成为了间谍软件的目标。

"这到底是怎么回事？我真的不知道该怎么想，"吉布森说，并补充说他在3月5日那天关掉了手机并将其收了起来。"我马上去买了一部新手机。我给我爸爸打了电话。一团糟。简直是乱套了。"

在Trenchant，吉布森负责开发iOS零日漏洞，这意味着寻找漏洞并开发能够利用这些漏洞的工具，而这些漏洞不受受影响硬件或软件(如苹果)的供应商所知。

"我对这件事有多荒谬感到复杂，然后是极度的恐惧，因为一旦事情发展到这个地步，你永远不知道会发生什么，"他告诉TechCrunch。

但这位前Trenchant员工可能不是唯一一个被间谍软件漏洞利用程序开发者。据三位直接了解这些案件的消息人士称，过去几个月还有其他间谍软件和漏洞利用程序开发者收到了苹果的通知，警告他们成为了间谍软件的目标。

苹果没有回应TechCrunch的置评请求。

吉布森iPhone的被攻击表明，零日漏洞和间谍软件的扩散开始波及更多类型的受害者。

间谍软件和零日漏洞制造商历来声称，他们的工具只经过审查的政府客户用于针对犯罪分子和恐怖分子。但在过去十年中，多伦多大学数字权利组织公民实验室(Citizen Lab)、国际特赦组织以及其他组织的研究人员发现了数十起案例，其中政府使用这些工具在全球范围内针对异见人士、记者、人权捍卫者和政治对手。

黑客攻击安全研究人员最接近的公开案例发生在2021年和2023年，当时朝鲜政府黑客被发现针对从事漏洞研究和开发的安全研究人员。

收到苹果威胁通知两天后，吉布森联系了一位在调查间谍软件攻击方面经验丰富的取证专家。在对吉布森的手机进行了初步分析后，专家没有发现任何感染的迹象，但仍建议对这位漏洞开发者的手机进行更深入的取证分析。

取证分析需要向专家发送设备的完整备份，吉布森表示他对此感到不舒服。

"最近的案件在取证方面越来越棘手，有些我们什么也找不到。也有可能是攻击在初始阶段后实际上并没有完全发送，我们不知道，"专家告诉TechCrunch。

如果没有对吉布森手机的完整取证分析，最好是调查人员发现了间谍软件痕迹及其制造者的分析，就不可能知道为什么他被选中作为目标或谁选中了他。

但吉布森告诉TechCrunch，他认为他收到的苹果威胁通知与他离开Trenchant的情况有关，他声称该公司将他指定为内部工具泄露事件的替罪羊。

苹果发送威胁通知是在有证据表明某人是雇佣间谍软件攻击目标时。这种监控技术通常利用手机软件中的漏洞，在不知情的情况下无形地远程植入某人的手机，这些漏洞利用程序可能价值数百万美元，并且可能需要数月时间开发。执法机构和情报机构通常拥有在目标上部署间谍软件的法律权力，而不是间谍软件制造商本身。

在出版前，TechCrunch联系了Trenchant母公司L3Harris的发言人萨拉·班达(Sara Banda)，她拒绝就这个故事发表评论。

在收到苹果威胁通知的一个月前，当吉布森仍在Trenchant工作时，他说他被邀请前往公司的伦敦办公室参加团队建设活动。

2月3日吉布森抵达后，他立即被召进会议室，通过视频通话与Trenchant时任总经理彼得·威廉姆斯(Peter Williams)交谈，他在公司内部被称为"杜吉"。(2018年，国防承包商L3Harris收购了零日漏洞制造商Azimuth和Linchpin Labs，这两家姐妹初创公司合并后成为Trenchant。)

威廉姆斯告诉吉布森，公司怀疑他同时受雇于其他地方，因此暂停了他的职务。吉布森的所有工作设备都将被没收并分析，作为对指控进行内部调查的一部分。威廉姆斯无法联系以发表评论。

"我很震惊。我真的不知道该如何反应，因为我无法真正相信我听到的话，"吉布森说，他解释说随后一名Trenchant的IT员工去了他的公寓取走公司发放的设备。

大约两周后，吉布森说威廉姆斯打电话告诉他，经过调查，公司正在解雇他，并向他提供和解协议和付款。吉布森说威廉姆斯不愿解释对其设备的取证分析发现了什么，基本上告诉他除了签署协议并离开公司外别无选择。

吉布森说他别无选择，只好接受了提议并签署了协议。

吉布森告诉TechCrunch，他后来从前同事那里听说，Trenchant怀疑他泄露了谷歌Chrome浏览器中的一些未知漏洞，这些工具是Trenchant开发的。然而，吉布森和他的三位前同事告诉TechCrunch，他没有权限访问Trenchant的Chrome零日漏洞，因为他是专门开发iOS零日漏洞和间谍软件的团队成员的一部分。这些人说，Trenchant团队只能严格按部门访问与他们正在开发的平台相关的工具。

"我知道我是替罪羊。我没有罪。很简单，"吉布森说。"除了为他们拼命工作，我什么都没做。"

对吉布森的指控以及他随后被停职和解雇的故事得到了三位知情的前Trenchant员工的独立证实。

另外两名前Trenchant员工表示，他们知道吉布森伦敦之旅的细节，并意识到敏感公司工具的疑似泄露事件。

他们所有人都要求匿名，但相信Trenchant搞错了。