中国当局正在使用一种新工具来入侵被扣押的手机并提取数据

安全研究人员表示，中国当局正在使用一种新型恶意软件从被扣押的手机中提取数据，使他们能够获取短信（包括来自 Signal 等聊天应用程序）的图像、位置历史记录、录音、联系人等。

周三，移动网络安全公司 Lookout 发布了一份新报告——与 TechCrunch 独家分享——详细介绍了名为 Massistant 的黑客工具，该公司表示该工具是由中国科技巨头厦门美亚 Pico 开发的。

根据 Lookout 的说法，Massistant 是一种用于从手机中提取数据的 Android 软件，这意味着使用它的当局需要对这些设备进行物理访问。虽然 Lookout 不确定哪些中国警察机构正在使用该工具，但据推测其用途广泛，这意味着中国居民和前往中国的旅行者都应该了解该工具的存在及其带来的风险。

“这是一个很大的问题。我认为任何在该地区旅行的人都需要意识到，他们带入该国的设备很可能会被没收，上面的任何东西都可能被收集，“分析该恶意软件的 Lookout 研究员克里斯蒂娜·巴拉姆（Kristina Balaam）在报告发布前告诉 TechCrunch。“我认为，如果每个人在该地区旅行，都应该注意这一点。”

Balaam 在当地中国论坛上发现了几篇帖子，人们抱怨在与警方互动后发现他们的设备上安装了恶意软件。

“它似乎被广泛使用，尤其是从我从这些中国论坛的传言中看到的情况来看，”Balaam 说。

根据厦门美亚 Pico 网站上的系统描述和图片，该恶意软件必须植入解锁的设备上，并与连接到台式计算机的硬件塔协同工作。

Balaam 说，Lookout 无法分析桌面组件，研究人员也无法找到与 Apple 设备兼容的恶意软件版本。在其网站上的插图中，厦门美亚 Pico 展示了连接到其取证硬件设备的 iPhone，这表明该公司可能拥有 iOS 版本的 Massistant，旨在从 Apple 设备中提取数据。

根据 Balaam 在这些中国论坛上读到的信息，警方不需要复杂的技术来使用 Massistant，例如使用零日漏洞——软件或硬件中尚未向供应商披露的缺陷——因为“人们只是交出他们的手机”。

至少从 2024 年开始，中国国家安全警察就拥有通过手机和电脑进行搜查的合法权力，无需搜查令或正在进行的刑事调查。

“如果有人通过边境检查站，他们的设备被没收，他们必须允许访问它，”Balaam 说。“我认为我们没有看到合法拦截工具空间的任何真正漏洞，只是因为他们不需要这样做。”

根据 Balaam 的说法，好消息是 Massistant 在被扣押的设备上留下了其入侵的证据，这意味着用户有可能识别和删除恶意软件，要么是因为黑客工具显示为应用程序，要么可以使用更复杂的工具找到和删除，例如 Android Debug Bridge，一种命令行工具，允许用户通过他们的计算机连接到设备。

坏消息是，在安装 Massistant 时，损害已经造成，当局已经拥有此人的数据。

根据 Lookout 的说法，Massistant 是类似的移动取证工具的继任者，该工具也是由厦门美亚 Pico 制造的，名为 MSSocket，安全研究人员在 2019 年对其进行了分析。

据报道，厦门美亚 Pico 在中国数字取证市场占有 40% 的份额，并因其在向中国政府提供技术方面的作用而于 2021 年受到美国政府的制裁。

该公司没有回应 TechCrunch 的置评请求。

Balaam 说，Massistant 只是中国监控技术制造商制作的大量间谍软件或恶意软件之一，她称之为“一个大生态系统”。这位研究人员表示，该公司在中国跟踪了至少 15 个不同的恶意软件家族。