商业间谍软件的广泛使用与检测工具的发展

近年来，商业间谍软件被更多行为体使用，针对更广泛的受害者群体。然而，主流观点仍认为这类恶意软件主要用于针对极少数人的定向攻击。与此同时，检测设备是否感染间谍软件一直较为困难，导致个人依赖学术机构和非政府组织开发的法医技术来检测移动间谍软件。

iVerify的间谍软件检测工具

移动设备安全公司iVerify于周二发布了一项间谍软件检测功能的研究结果。该功能自5月推出以来，在2500次设备扫描中，发现了7例感染了著名的NSO集团恶意软件Pegasus的案例。iVerify的移动威胁狩猎功能结合了基于恶意软件签名的检测、启发式方法和机器学习，以查找iOS和Android设备活动中的异常或间谍软件感染的迹象。付费用户可以定期检查设备是否受到威胁，而免费用户每月可使用一次该功能。iVerify的基础设施设计为保护隐私，但使用移动威胁狩猎功能时，用户需提供电子邮件地址以便公司在检测到间谍软件时联系他们。

间谍软件的目标群体

iVerify的首席运营官Rocky Cole指出，被Pegasus攻击的目标不仅是记者和活动人士，还包括商业领袖、政府官员等。这表明间谍软件的目标群体比以往认为的更为广泛，更类似于普通恶意软件或高级持续性威胁（APT）组织的目标群体。

间谍软件的普及与检测工具的重要性

尽管在2500次扫描中仅发现7例感染，但这表明间谍软件的使用已经相当普遍。iVerify的检测工具为诊断间谍软件感染提供了便利，可能进一步揭示这类恶意软件的使用频率。NSO集团发言人Gil Lainer表示，其产品仅出售给经过审查的美国及以色列盟友的情报和执法机构。

技术挑战与未来发展

iVerify的研究副总裁Matthias Frielingsdorf将在夏威夷毛伊岛的Objective by the Sea安全会议上展示其Pegasus发现。他指出，开发检测工具需要大量投资，因为移动操作系统（尤其是iOS）比传统桌面操作系统更为封闭，不允许监控软件访问系统核心。Cole强调，关键是通过尽可能接近内核的遥测数据来调整机器学习模型进行检测。虽然Pegasus等间谍软件具有某些特征便于标记，但减少误报仍是移动监控工具面临的挑战。

实际应用案例

iVerify的检测工具已经帮助识别了律师和锡克教政治活动家Gurpatwant Singh Pannun智能手机上的感染迹象，以及Harris-Walz竞选团队两名官员移动设备上疑似国家支持的活动。

结论

Cole指出，认为iPhone和Android手机出厂即安全的时代已经结束。现在，人们有能力知道自己的手机是否感染了商业间谍软件，且感染率远高于主流观点所认为的。