所以你不在乎谷歌，亞馬遜，Facebook和三星偷聽你。但是你對網絡罪犯監聽你的臥室談話有什麼感覺？維基解密的Vault 7文件顯示，你可能很快就會成為不速之客的主人。

中央情報局最危險的惡意軟件——能夠入侵幾乎所有的無線消費電子產品——現在可能落入竊賊和****之手。那對你來說意味著什麼呢？

7號保險庫是什麼？

金庫7是一個洩露的文件寶庫，涉及中央情報局（CIA）的網絡戰能力。Vault 7中描述的大部分軟件揭示了CIA如何使用智能**、平板電腦、智能電視和其他互聯網連接設備進行控制和監視。3月7日，維基解密公佈了一小部分文件。

什麼應該讓每個人害怕：根據維基解密，中情局失去了對這些工具的控制。現在罪犯（可能）擁有了它們。然而，許多已發佈的漏洞（還有許多尚未發佈的漏洞）已經有近5年的歷史了，並且已經被修補過了。

罪犯如何獲得美國黑客工具

不是每個為情報機構工作的人都是持卡會員。中情局定期將就業外包給私營部門的聯邦承包商。許多私人情報公司，如HBGary，缺乏中情局的安全保障。

愛德華·斯諾登是聯邦承包商

例如，博茲·艾倫·漢密爾頓**了國安局的承包商愛德華·斯諾登，後者洩露了與國安局非法監視計劃有關的文件。此外，博斯艾倫漢密爾頓遭受了2011年黑客攻擊。

維基解密在其官方聲明中宣稱（強調我的）：

The archive appears to have been circulated among former U.S. government hackers and contractors in an unauthorized manner, one of whom has provided WikiLeaks with porti*** of the archive.

引用的一部分很突出：這些工具是以“未經授權的方式”傳播的。言外之意應該關係到全世界的每一個人。中情局可能失去了對1000億美元黑客工具組合的控制。

但這並不是私人公司第一次收購**開發的危險軟件。

stuxnet蠕蟲

例如，另一種武器化惡意軟件Stuxnet蠕蟲在2010年被發現後不久就落入了網絡犯罪分子的手中。從那以後，Stuxnet偶爾會以惡意軟件的形式出現。它的普遍性部分與它的代碼庫有關。據網絡安全研究員肖恩·麥高克（Sean McGurk）說，Stuxnet的源代碼可以下載。

You can download the actual source code of Stuxnet now and you can repurpose it and repackage it and then, you know, point it back towards wherever it came from.

這意味著幾乎所有的程序員都可以構建自己的基於Stuxnet的惡意軟件包。中情局對其網絡武器庫缺乏控制，這確保了這些漏洞將繼續流入營利性罪犯、****和流氓國家的手中。沒有比影子經紀人更好的例子了。

影子經紀人

2016年，影子經紀集團臭名昭著地拍賣了一系列國家**的黑客工具。他們是如何偷走這些工具的，誰都猜不透，但他們從哪裡得到這些工具卻是眾所周知的：美國****局。

根據截獲的消息，斯諾登洩密案中的文件將影子掮客竊取的工具與黑客組織Equation group（EG）聯繫起來。EG利用了後來在國家資助的Stuxnet蠕蟲中發現的漏洞——這高度暗示了NSA和EG之間的聯繫。再加上洩露的工具，看來NSA和CIA無法控制自己的技術。

但這是否意味著你的隱私和安全受到了威脅？

監視客戶的歷史

你的隱私和安全已經受到威脅。

幾乎所有現代智能產品都包括麥克風。有些設備需要按下按鈕才能打開麥克風或攝像頭。其他人則不停地聽某個關鍵詞的發音。例如，三星的一系列智能電視不斷地收聽、錄製和傳輸——所有這些都不依賴於複雜的**監控。

擁有智能電視

三星關於其智能電視的隱私聲明令人不安。儘管三星修改了隱私服務條款以避免爭議，但Twitter用戶xor捕捉到的原始聲明如下：

以下是三星（Samsung）的相關引用：

Please be aware that if your spoken words include personal or other sensitive information, that information will be among the data captured and tran**itted to a third party through your use of Voice Recognition.

簡而言之，智能電視能聽到你說的每句話。三星與第三方共享這些數據。然而，這些第三方被認為是隻對你的談話有商業利益的企業。你可以隨時關掉它。

不幸的是，中情局開發的“哭泣天使”黑客使得它無法關閉電視。哭泣天使瞄準三星智能電視。Vault 7文檔將此稱為假關閉模式。來自維基解密：

...Weeping Angel places the target TV in a "Fake-Off" mode, so that the owner falsely believes the TV is off when it is on. In "Fake-Off" mode the TV operates as a bug, recording conversati*** in the room and sending them over the internet to a covert CIA server.

三星並非孤軍奮戰。畢竟，Facebook、Google和Amazon（我們對Echo的評論）也依賴於使用設備的麥克風——通常沒有得到用戶的同意。例如，Facebook的隱私聲明聲稱，他們確實使用麥克風，但只有當用戶使用Facebook應用程序的“特定”功能時。

技術如何實現非法監視

現代智能**最大的安全漏洞是其軟件。通過利用瀏覽器或操作系統中的安全漏洞，攻擊者可以遠程訪問智能設備的所有功能，包括麥克風。事實上，中情局就是這樣訪問其目標的大多數智能**的：通過蜂窩或Wi-Fi網絡。

在美國中央情報局、其承包商和外國合作機構開發的24款安卓系統中，有8款可以用來遠程控制智能**。我假設，一旦受到控制，惡意軟件運營商將使用多種攻擊組合，結合遠程訪問、權限提升和安裝持久性惡意軟件（而不是存在於RAM中的惡意軟件）。

上面列出的技術通常依賴於用戶單擊電子郵件中的鏈接。一旦目標導航到受感染的網站，攻擊者就可以控制智能**。

錯誤的希望：黑客已經過時了

一個錯誤的希望：在金庫7中發現的黑客攻擊中，大多數都與舊設備有關。然而，這些文件只包括中情局可用的黑客總數的一小部分。更有可能的是，這些黑客大多是舊的，過時的技術，中情局不再使用。然而，這是一個錯誤的希望。

許多漏洞廣泛應用於片上系統（什麼是SoC？）而不是個人電話。

例如，在上圖中，Chronos漏洞（以及其他漏洞）可以攻擊Adreno芯片組。該安全漏洞幾乎涵蓋了所有基於高通處理器的智能**。再次請記住，只有不到1%的Vault 7內容已發佈。可能還有更多的設備容易被滲透。

然而，朱利安阿桑奇提出幫助所有大公司修補金庫7暴露的安全漏洞。如果運氣好的話，阿桑奇可能會與微軟、谷歌、三星等公司共享該檔案。

金庫7對你意味著什麼

誰有權進入檔案館還沒有定論。我們甚至不知道這些漏洞是否仍然存在。然而，我們確實知道一些事情。

只有百分之一的檔案已經公佈

雖然谷歌宣佈修復了中情局使用的大部分安全漏洞，但在Vault 7文件中，只有不到1%的文件被髮布。因為只有較舊的漏洞被髮布，所以幾乎所有的設備都有可能受到攻擊。

攻擊目標是

這些漏洞大多是針對性的。這意味著一個參與者（比如中情局）必須特別針對一個人，才能控制一個智能設備。Vault 7文件中沒有任何內容表明**正在大規模清理從智能設備收集到的對話。

情報機構囤積漏洞

情報機構囤積漏洞，不向公司披露此類安全漏洞。由於安全操作的粗製濫造，這些漏洞中的許多最終落入了網絡罪犯的手中，如果他們還不存在的話。

你能做點什麼嗎？

金庫7曝光的最糟糕的方面是沒有軟件提供保護。過去，隱私倡導者（包括斯諾登）建議使用加密的消息傳遞平臺，如Signal，以防止中間人攻擊。

不過，Vault 7的檔案顯示，攻擊者可以記錄**的按鍵。現在看來，沒有任何聯網設備可以避免非法監視。幸運的是，可以修改**以防止它被用作遠程bug。

愛德華·斯諾登（Edward Snowden）解釋瞭如何物理禁用現代智能**上的攝像頭和麥克風：

根據**型號的不同，斯諾登的方法需要從物理上拆除麥克風陣列（噪音消除設備至少使用兩個麥克風）並拔下前置和後置攝像頭。然後使用外部麥克風，而不是集成麥克風。

不過，我要指出的是，沒有必要拔掉攝像頭的插頭。有隱私意識的人可以用膠帶把攝像頭遮住。

下載存檔文件

有興趣瞭解更多信息的人可以下載整個Vault 7轉儲。維基解密打算在2017年期間將該檔案分批發布。我懷疑金庫7:YearZero的副標題是指檔案的巨大規模。他們有足夠的內容每年發佈一個新的垃圾場。

你可以下載完整的密碼保護的種子。存檔文件第一部分的密碼如下：

你擔心中情局對他們的黑客工具失去控制嗎？請在評論中告訴我們。

圖片來源：hasan eroglu viaShutterstock.com網站