美國國防部長赫格塞斯(Pete Hegseth)以個人手機使用加密通訊軟體Signal,傳送美軍對葉門武裝組織「青年運動」(Houthi)的具體空襲計劃,包括起飛與投彈時間,引起軒然大波。資安分析人士指出,這支手機號碼可在多個公開平台查到,該號碼與他的私人電郵及Google Maps帳戶也有綁定,留下大量可追蹤的數位足跡。資安專家指出,赫格塞斯的身分級別幾乎必定成為中、俄、伊朗等國駭客鎖定目標,這樣的輕率行為大幅提高美方軍事情報遭駭風險。
資安專家指出,美國國防部長的通訊裝置理應是國安體系中防護最嚴密的設備之一。赫格塞斯用來連上Signal群組的這支手機號碼,竟然能在多個平台查到,包括WhatsApp、Facebook,以及一個夢幻體育(fantasy sports)網站。多名國防與安全官員受訪時表示,現今美國政府官員就任時保留個人手機已成常態,但規定上不得用於公務,赫格塞斯的行為顯然違反此規範。
曾任美國國家反間諜暨安全中心主任的凱西(Mike Casey)接受訪問時表示:「幾乎可以確定,有人試圖在他的手機上安裝Pegasus或其他間諜軟體。」並表示:「他大概是全球間諜最想鎖定的前五名對象之一。」
戰略暨國際研究中心(CSIS)國防與安全專家哈丁(Emily Harding)則說:「國防部長的手機號碼絕對不應這樣輕易被任何人查到。」五角大廈首席發言人帕內爾(Sean Parnell)對此未回應置評請求。
赫格塞斯使用Signal傳送葉門空襲細節一事,最早是上個月由《大西洋月刊》(The Atlantic)總編輯披露。該報導指出,這名總編輯疑似被誤加入一個美國高層官員的加密群組。隨後《紐約時報》進一步爆料,赫格塞斯在他創建的另一個Signal群組中也分享空襲葉門的敏感資訊,群組成員包括他的妻子與弟弟等人。
3月,第一個Signal群組曝光後不久,德國新聞雜誌《明鏡》(Der Spiegel)曾報導可在網路上查到赫格塞斯與多名川普政府高官的手機號碼。資安專家指出,由於赫格塞斯過去是民間人士,手機號碼早已可透過商業資料庫查到。
多名現任與前任政府官員透露,依規定,官員不得用個人裝置處理公務,一名前五角大廈高層官員強調,高層國安官員更被嚴格要求遵守。
赫格塞斯在WhatsApp與Facebook等社群平台上仍保持活躍,相關帳號目前可查。去年8月15日,赫格塞斯使用自己的手機號碼註冊了幻想運動平台Sleeper,使用者名稱是「PeteHegseth」。他還留下了其他數位足跡,包括使用這支手機號碼註冊短租屋平台Airbnb與微軟Teams視訊會議系統。這支號碼也與一個電子郵件帳戶綁定,該帳戶又連結到一個Google Maps個人檔案,並曾在Google Maps留下多則商家評價。
前美國國安局(NSA)總法律顧問葛斯特爾(Glenn S. Gerstell)指出:「只要用手機處理日常生活事務,就會留下明確可追蹤的數位足跡,即使是技術水準一般的駭客,也能循著這些數位足跡鎖定他,更遑論具備高階攻擊能力的敵對勢力。」
資安專家強調,使用同一支手機號碼在Signal裡討論美軍空襲具體起飛時間與其他敏感訊息,赫格塞斯不只讓自己、連飛行員也可能、一同曝露在外國駭客攻擊之下。無論資訊加密與否,這些對手過去已證明具備滲透美國高官帳號的能力。
資安專家路易斯(James A. Lewis)形容:「手機號碼就像是房子的門牌號碼,告訴你該去哪裡入侵。如果你知道門牌,就能找到房子,再判斷自己是否有工具能破解鎖。」多名資安專家補充,中國與俄羅斯確實具備這類攻擊能力,伊朗也可能有。
葛斯特爾表示,他無法得知赫格塞斯的手機是否真的遭攻擊,但一般而言,個人手機的防護遠不及政府公務機。「只要擁有號碼,再透過一些手法誘騙點擊惡意連結,就有機會悄悄入侵手機。」葛斯特爾說:「若碰上俄羅斯或中國這種級別的駭客,就算什麼都沒點擊,手機也有可能被駭入。」
資安專家指出,過去十年,全球已有超過75個國家取得各式商業間諜軟體。最先進的工具如以色列NSO集團開發的間諜軟體Pegasu,就具備「零點擊」技術,無需使用者點擊任何連結,就能遠端侵入目標手機,並竊取所有資料。這類軟體還能把手機變成追蹤與錄音裝置,全面監控機主。
Signal雖是一款加密軟體,安全性在商用通訊服務中屬上乘,但若手機被植入鍵盤記錄器或其他惡意軟體,即使是在加密通訊軟體中,駭客或外國政府仍可在使用者輸入訊息時就讀取內容。例如Pegasus就能在無需點擊的情況下遠端入侵手機並竊取資料。
在赫格塞斯透過Signal討論葉門空襲計劃的案例中,資安專家指出,若他的手機遭植入間諜軟體,就可能在他按下「傳送」前,就讀取他輸入的訊息或查看接收到的內容。Signal的加密只在傳輸過程中生效,難以防範這類高階間諜行為。
