2018 年,亚马逊 CEO 杰夫·贝索斯的 iPhone X 曾被黑客入侵。在他不知情的情况下,黑客窃取了很多敏感的私人资料。
其中一部分资料由美国小报《国家问询报》(National Enquirer)最早爆出,包括贝索斯与婚外情地下情人 Lauren Sanchez 的敏感短信和照片。
在 2019 年 2 月,贝索斯公开发文称,《国家问询报》及其母公司 AMI 试图利用私人短信和照片勒索他,在自己拒绝后才选择公之于众,打击他的声誉。随后他一掷千金,聘请安全顾问专家 Gavin de Becker 查清楚自己的私人短信和照片是如何泄露的。
如今,负责技术分析的咨询公司 FTI Consulting 出具了一份 17 页的调查报告,里面详细总结了贝索斯 iPhone 被黑的细节和过程,由此推理出了一套“中到高可信度”的评估结论。
报告指出,诸多技术证据显示,“手机被黑事件”的始作俑者极有很大的可能是沙特王储穆罕默德·本·萨勒曼,全名 Mohammad Bin Salman Al Saud,常用缩写 MBS。
图 | 沙特王储萨勒曼(来源:Dennis Van Tine/STAR MAX/AP)
这项结论和相应的调查报告一经公开就迅速发酵,甚至已经引起了联合国人权理事会的注意。
事实上,针对贝索斯 iPhone 的调查取证是在联合国特别报告员 Agnès Callamard 的监督下进行的,她正在负责调查沙特记者卡舒吉被杀案,贝索斯手机被黑是其中一条线索。
调查结果出炉后,Callamard 和另一名联合国特别报告员 David Kaye 第一时间发表联合声明称,“(沙特)王储可能参与了对贝索斯的监视,试图影响《华盛顿邮报》对沙特阿拉伯的报道”,因此要求“美国和其他相关当局立即展开调查,包括调查王储是否以持续、常年和直接的方式亲自参与了针对被认为是对手的行动”。
仅有 4.22MB 的恶意视频
时间退回到 2019 年 2 月,安全顾问 Gavin de Becker 在接受贝索斯的请求后,聘请了知名咨询公司 FTI Consulting,开始对贝索斯使用的 iPhone X 进行专业方面技术分析,在实验中分析和监视手机的状态,包括出入网流量监控、调取系统日志和分析应用使用记录等等。
研究人员首先使用了大名鼎鼎的 Cellebrite 公司的 Physical Analyzer 软件——这家以色列公司以能够破解 iPhone 等智能手机闻名——对 iPhone 进行扫描,同时识别、监控和拷贝了手机的系统设置、日志、出入网流量记录和其他重要数据,供详细分析之用。
虽然 Physical Analyzer 并未扫描出任何恶意软件,但一条可疑视频引起了调查员的注意。这是一条来自沙特王储萨勒曼 WhatsApp 账号的视频文件。
在 2018 年 4 月的一场晚宴上,萨勒曼添加了贝索斯的 WhatsApp 账号,两人只是互报了名字,并没有更多交流。一个月之后,萨勒曼的账号突然向贝索斯发送了一条 MP4 视频附件,体积仅有 4.22 MB。
图 | 贝索斯和萨勒曼互加 WhatsApp 好友,之后没有其他对话(来源:FTI report)
研究人员指出,WhatsApp 附件是可以在手机上自动下载的,但由于包括视频在内的所有信息都经过了端到端加密,他们无法判断视频附件中是否包含了间谍应用代码,只知道附件比视频本身的体积略大一点。
不过经过深入分析之后,很多证据都显示这条视频存在问题。
对于贝索斯来说,收到这条阿拉伯语视频十分意外。因为萨勒曼之前从未提到要给他发送任何视频,而且除了视频本身,他也没有附上任何解释。贝索斯并不知道这个视频有什么意义。
当然,他也没有意识到这个视频有什么样的问题,一个通过 WhatsApp 发过来的 4.22MB 视频能有什么样的问题呢?
图 | 萨勒曼账号发来的短视频文件(来源:FTI report)
出入网流量日志显示,就在收到视频之后,这台 iPhone 在数小时内向外界发出了大量数据,出现了疑似数据泄露的状况。
作为对比,调查人员分析了收到视频前 6 个月的出网流量(egress data),平均每天只有 430 KB,属于正常使用 iPhone 的范畴。
贝索斯还关闭了 iCloud 的自动备份选项,因此在一般的情况下,几乎不会出现很大的出网流量。
而收到视频后的几个小时内,这台 iPhone 的出网流量扩大了 290 倍,猛增到 126 MB,并且在之后的一年内保持着平均每天 100MB 左右的出网流量,有两天的数据甚至高达 2.4GB 和 4.6GB。
除非贝索斯那两天用手机上传了 iCloud 备份或者电影,否则这是极不寻常的情况。
图 | 下载可疑视频之后,iPhone 的出网流量记录猛增(来源:FTI report)
图 | 出网流量最大的几天,最高达到了 4.6GB(来源:FTI report)
根据现有信息推断,这些发出的数据很可能都是贝索斯手机中的私人资料,包括图片、短信、通话和邮件等信息,而且是在他不知情且没有授权的情况下,通过蜂窝网络发出的。
除此之外,FTI 调查员还掌握了两个细节,侧面佐证沙特王储萨勒曼的账号使用者(不清楚是否是他本人)可能通过不为人知的渠道掌握了贝索斯的隐私情报。
第一个细节:萨勒曼的账号于 2018 年 11 月 8 日给贝索斯转发了一条网络梗图,上面有一张与贝索斯情人 Lauren Sanchez 相似的女性正面照,配文是“和一个女人吵架就像是阅读软件许可协议,你到最后不得不忽略一切,然后点击我同意。”
当时贝索斯和妻子 MacKenzie Bezos 正在考虑离婚,但尚未公之于众,而且萨勒曼和贝索斯从未谈论过类似的话题。这张梗图可能是在影射贝索斯当时的私生活状况,意味着萨勒曼账号的使用者知道他有地下情并且在考虑离婚。
图 | 萨勒曼账号转发给贝索斯的网络梗图(来源:FTI report)
第二个细节,也是萨勒曼账号发送的消息。2019 年 2 月 16 日,在三个月没有联络的情况下,萨勒曼又给贝索斯发了一条消息,让他不要相信听到的有关“沙特或自己(萨勒曼)正在对付你的假消息”。
就在收到消息的两天前,贝索斯刚刚通过电话参与了两场内部简报会议,会上他被告知“沙特政府正在通过网络舆论手段攻击自己”。这在某种程度上预示着沙特王储可能监听或窃取了这些情报。
图 | 萨勒曼账号发给贝索斯的短信(来源:FTI report)
综合上述证据,FTI 咨询公司得出结论,即使没有发现恶意软件的痕迹,也有可信度较高的证据证明贝索斯的 iPhone 遭到了入侵,因为某些先进的黑客工具可以嵌入正规应用和进程中,从而实现躲避检测并暗中发送数据的目的。
手机被黑的背后,多方政治角力
乍看之下,萨勒曼和贝索斯隔着半个地球,好像没什么利益纠纷,但这件事情的背后其实牵扯到了多个集团和政要的利益,连特朗普都被卷入局中。
杰夫·贝索斯除了是亚马逊的首席执行官,还在 2013 年通过自己的 Nash Holdings 公司收购了颇具政治影响力的知名美国媒体《华盛顿邮报》。
《华盛顿邮报》有一名沙特籍专栏作家,名为贾迈勒·卡舒吉(Jamal Ahmad Khashoggi)。他因为被沙特政府禁止工作而逃往美国,随后于 2017 年底开始在《华盛顿邮报》撰文,成为专栏作家,还发表多篇文章抨击沙特政府和王储萨勒曼。由此引发了沙特对卡舒吉和报刊的不满。
图 | 《华盛顿邮报》专栏作家贾迈勒·卡舒吉(来源:Wikipedia)
2018 年 9 月 2 日,因需要领取离婚文件,卡舒吉进入土耳其首都伊斯坦布尔的沙特领事馆,而后再也没有出来。沙特官方最开始否认掌握卡舒吉的行踪,后来迫于国际舆论和调查证据的压力,不得不承认他已经遇害,但矢口否认王储和政府参与其中。
在这段时间里,《华盛顿邮报》火力全开,不断要求沙特政府彻查卡舒吉之死,对事故负责,并且将沙特的做法描述为“掩盖事实”。
2018 年 11 月 2 日,《华盛顿邮报》直接刊登了土耳其总统埃尔多安的文章,称杀害卡舒吉的指令“来自于沙特政府最高层,但不是国王萨勒姆”,矛头直指王储萨勒曼。
一系列举动招来了沙特政府和社会的不满,外界普遍认为,沙特高层对《华盛顿邮报》和贝索斯的反感可能就是由此而来。沙特高层多次否认政府参与其中,称这是“对王储的抹黑”。推特等社会化媒体上陆续出现“抵制亚马逊和贝索斯”的热门话题,持续了数月之久。
这也是前文提到的,贝索斯参与的内部简报会议的主题:社会化媒体上出现了抵制亚马逊的风潮。
图 | 萨勒曼(左)贝索斯(中)David Pecker(右)(来源:路透社/BI/AP)
但问题在于,即便是沙特王储黑入了贝索斯手机,他也没有选择直接曝光私人资料,而是由美国小报《国家问询报》发布的,那么这家报社是怎么获得这些信息的呢?
这家报社隶属于AMI(American Media Inc.)公司旗下,其总裁名为David Pecker,与沙特王储自 2017 年起就有私交,关系密切,因此很可能从这个渠道拿到了贝索斯的婚外情丑闻证据。
另一方面,Pecker 和美国总统特朗普相识数十载,交情深厚,AMI 旗下出版物的立场也经常倾向特朗普。而特朗普与《华盛顿邮报》和贝索斯素来不和,经常讽刺后者是“假新闻”。
这也是怎么回事贝索斯称其遭到了 AMI 的勒索:握有来自沙特的实锤证据的 Pecker 可能想要获得更多利益,也可能想帮自己的老朋友特朗普“出出气”,煞一煞贝索斯的威风。
图 | “贝索斯手机被黑”事件背后错综复杂的关系网(来源:DeepTech)
结语
目前,针对联合国人权专家背书的最新调查结果,沙特政府尚未给出明确回应,而 AMI 方面此前曾极力否认资料来自沙特。
正在调查卡舒吉之死的联合国特别报告员 Callamard 表示,“对《华盛顿邮报》所有人兼世界最大的网购公司亚马逊首席执行官杰夫·贝索斯进行监听,违反了基本的国际人权标准”。
可以肯定的是,的确有来自王储萨勒曼 WhatsApp 账号的恶意程序藏于视频附件里,但仍然缺乏决定性证据,比如账号的使用者是萨勒曼本人或者受其指示,事件的走向尚不明朗。
也许在政治利益面前,能否有进一步反转仍未可知,追求真相的意义也没那么重要了。
不过这件事情也给我们普通人敲响了警钟,虽然我们不是世界首富,但对待隐私泄露问题绝不能疏于防范。
科技大佬贝索斯用亲身经历告诉我们,不要轻易点击陌生链接和视频,说不定哪一条看似无害的链接就能带来意想不到的后果。别等到自己中招的时候,才发现了自己和大佬又多了一个共同点,这可不是什么好事儿。
-End-
参考:
https://news.un.org/zh/story/2020/01/1049681