生疏文件不要乱下贝索斯手机被黑细节曝光沙特王储或是暗地推手

2018 年，亚马逊 CEO 杰夫·贝索斯的 iPhone X 曾被黑客入侵。在他不知情的情况下，黑客窃取了很多敏感的私人资料。

其中一部分资料由美国小报《国家问询报》（National Enquirer）最早爆出，包括贝索斯与婚外情地下情人 Lauren Sanchez 的敏感短信和照片。

在 2019 年 2 月，贝索斯公开发文称，《国家问询报》及其母公司 AMI 试图利用私人短信和照片勒索他，在自己拒绝后才选择公之于众，打击他的声誉。随后他一掷千金，聘请安全顾问专家 Gavin de Becker 查清楚自己的私人短信和照片是如何泄露的。

如今，负责技术分析的咨询公司 FTI Consulting 出具了一份 17 页的调查报告，里面详细总结了贝索斯 iPhone 被黑的细节和过程，由此推理出了一套“中到高可信度”的评估结论。

报告指出，诸多技术证据显示，“手机被黑事件”的始作俑者极有很大的可能是沙特王储穆罕默德·本·萨勒曼，全名 Mohammad Bin Salman Al Saud，常用缩写 MBS。

图 | 沙特王储萨勒曼（来源：Dennis Van Tine/STAR MAX/AP）

这项结论和相应的调查报告一经公开就迅速发酵，甚至已经引起了联合国人权理事会的注意。

事实上，针对贝索斯 iPhone 的调查取证是在联合国特别报告员 Agnès Callamard 的监督下进行的，她正在负责调查沙特记者卡舒吉被杀案，贝索斯手机被黑是其中一条线索。

调查结果出炉后，Callamard 和另一名联合国特别报告员 David Kaye 第一时间发表联合声明称，“（沙特）王储可能参与了对贝索斯的监视，试图影响《华盛顿邮报》对沙特阿拉伯的报道”，因此要求“美国和其他相关当局立即展开调查，包括调查王储是否以持续、常年和直接的方式亲自参与了针对被认为是对手的行动”。

仅有 4.22MB 的恶意视频

时间退回到 2019 年 2 月，安全顾问 Gavin de Becker 在接受贝索斯的请求后，聘请了知名咨询公司 FTI Consulting，开始对贝索斯使用的 iPhone X 进行专业方面技术分析，在实验中分析和监视手机的状态，包括出入网流量监控、调取系统日志和分析应用使用记录等等。

研究人员首先使用了大名鼎鼎的 Cellebrite 公司的 Physical Analyzer 软件——这家以色列公司以能够破解 iPhone 等智能手机闻名——对 iPhone 进行扫描，同时识别、监控和拷贝了手机的系统设置、日志、出入网流量记录和其他重要数据，供详细分析之用。

虽然 Physical Analyzer 并未扫描出任何恶意软件，但一条可疑视频引起了调查员的注意。这是一条来自沙特王储萨勒曼 WhatsApp 账号的视频文件。

在 2018 年 4 月的一场晚宴上，萨勒曼添加了贝索斯的 WhatsApp 账号，两人只是互报了名字，并没有更多交流。一个月之后，萨勒曼的账号突然向贝索斯发送了一条 MP4 视频附件，体积仅有 4.22 MB。

图 | 贝索斯和萨勒曼互加 WhatsApp 好友，之后没有其他对话（来源：FTI report）

研究人员指出，WhatsApp 附件是可以在手机上自动下载的，但由于包括视频在内的所有信息都经过了端到端加密，他们无法判断视频附件中是否包含了间谍应用代码，只知道附件比视频本身的体积略大一点。

不过经过深入分析之后，很多证据都显示这条视频存在问题。

对于贝索斯来说，收到这条阿拉伯语视频十分意外。因为萨勒曼之前从未提到要给他发送任何视频，而且除了视频本身，他也没有附上任何解释。贝索斯并不知道这个视频有什么意义。

当然，他也没有意识到这个视频有什么样的问题，一个通过 WhatsApp 发过来的 4.22MB 视频能有什么样的问题呢？

图 | 萨勒曼账号发来的短视频文件（来源：FTI report）

出入网流量日志显示，就在收到视频之后，这台 iPhone 在数小时内向外界发出了大量数据，出现了疑似数据泄露的状况。

作为对比，调查人员分析了收到视频前 6 个月的出网流量（egress data），平均每天只有 430 KB，属于正常使用 iPhone 的范畴。

贝索斯还关闭了 iCloud 的自动备份选项，因此在一般的情况下，几乎不会出现很大的出网流量。

而收到视频后的几个小时内，这台 iPhone 的出网流量扩大了 290 倍，猛增到 126 MB，并且在之后的一年内保持着平均每天 100MB 左右的出网流量，有两天的数据甚至高达 2.4GB 和 4.6GB。

除非贝索斯那两天用手机上传了 iCloud 备份或者电影，否则这是极不寻常的情况。

图 | 下载可疑视频之后，iPhone 的出网流量记录猛增（来源：FTI report）

图 | 出网流量最大的几天，最高达到了 4.6GB（来源：FTI report）

根据现有信息推断，这些发出的数据很可能都是贝索斯手机中的私人资料，包括图片、短信、通话和邮件等信息，而且是在他不知情且没有授权的情况下，通过蜂窝网络发出的。

除此之外，FTI 调查员还掌握了两个细节，侧面佐证沙特王储萨勒曼的账号使用者（不清楚是否是他本人）可能通过不为人知的渠道掌握了贝索斯的隐私情报。

第一个细节：萨勒曼的账号于 2018 年 11 月 8 日给贝索斯转发了一条网络梗图，上面有一张与贝索斯情人 Lauren Sanchez 相似的女性正面照，配文是“和一个女人吵架就像是阅读软件许可协议，你到最后不得不忽略一切，然后点击我同意。”

当时贝索斯和妻子 MacKenzie Bezos 正在考虑离婚，但尚未公之于众，而且萨勒曼和贝索斯从未谈论过类似的话题。这张梗图可能是在影射贝索斯当时的私生活状况，意味着萨勒曼账号的使用者知道他有地下情并且在考虑离婚。

图 | 萨勒曼账号转发给贝索斯的网络梗图（来源：FTI report）

第二个细节，也是萨勒曼账号发送的消息。2019 年 2 月 16 日，在三个月没有联络的情况下，萨勒曼又给贝索斯发了一条消息，让他不要相信听到的有关“沙特或自己（萨勒曼）正在对付你的假消息”。

就在收到消息的两天前，贝索斯刚刚通过电话参与了两场内部简报会议，会上他被告知“沙特政府正在通过网络舆论手段攻击自己”。这在某种程度上预示着沙特王储可能监听或窃取了这些情报。

图 | 萨勒曼账号发给贝索斯的短信（来源：FTI report）

综合上述证据，FTI 咨询公司得出结论，即使没有发现恶意软件的痕迹，也有可信度较高的证据证明贝索斯的 iPhone 遭到了入侵，因为某些先进的黑客工具可以嵌入正规应用和进程中，从而实现躲避检测并暗中发送数据的目的。

手机被黑的背后，多方政治角力

乍看之下，萨勒曼和贝索斯隔着半个地球，好像没什么利益纠纷，但这件事情的背后其实牵扯到了多个集团和政要的利益，连特朗普都被卷入局中。

杰夫·贝索斯除了是亚马逊的首席执行官，还在 2013 年通过自己的 Nash Holdings 公司收购了颇具政治影响力的知名美国媒体《华盛顿邮报》。

《华盛顿邮报》有一名沙特籍专栏作家，名为贾迈勒·卡舒吉（Jamal Ahmad Khashoggi）。他因为被沙特政府禁止工作而逃往美国，随后于 2017 年底开始在《华盛顿邮报》撰文，成为专栏作家，还发表多篇文章抨击沙特政府和王储萨勒曼。由此引发了沙特对卡舒吉和报刊的不满。

图 | 《华盛顿邮报》专栏作家贾迈勒·卡舒吉（来源：Wikipedia）

2018 年 9 月 2 日，因需要领取离婚文件，卡舒吉进入土耳其首都伊斯坦布尔的沙特领事馆，而后再也没有出来。沙特官方最开始否认掌握卡舒吉的行踪，后来迫于国际舆论和调查证据的压力，不得不承认他已经遇害，但矢口否认王储和政府参与其中。

在这段时间里，《华盛顿邮报》火力全开，不断要求沙特政府彻查卡舒吉之死，对事故负责，并且将沙特的做法描述为“掩盖事实”。

2018 年 11 月 2 日，《华盛顿邮报》直接刊登了土耳其总统埃尔多安的文章，称杀害卡舒吉的指令“来自于沙特政府最高层，但不是国王萨勒姆”，矛头直指王储萨勒曼。

一系列举动招来了沙特政府和社会的不满，外界普遍认为，沙特高层对《华盛顿邮报》和贝索斯的反感可能就是由此而来。沙特高层多次否认政府参与其中，称这是“对王储的抹黑”。推特等社会化媒体上陆续出现“抵制亚马逊和贝索斯”的热门话题，持续了数月之久。

这也是前文提到的，贝索斯参与的内部简报会议的主题：社会化媒体上出现了抵制亚马逊的风潮。

图 | 萨勒曼（左）贝索斯（中）David Pecker（右）（来源：路透社/BI/AP）

但问题在于，即便是沙特王储黑入了贝索斯手机，他也没有选择直接曝光私人资料，而是由美国小报《国家问询报》发布的，那么这家报社是怎么获得这些信息的呢？

这家报社隶属于AMI（American Media Inc.）公司旗下，其总裁名为David Pecker，与沙特王储自 2017 年起就有私交，关系密切，因此很可能从这个渠道拿到了贝索斯的婚外情丑闻证据。

另一方面，Pecker 和美国总统特朗普相识数十载，交情深厚，AMI 旗下出版物的立场也经常倾向特朗普。而特朗普与《华盛顿邮报》和贝索斯素来不和，经常讽刺后者是“假新闻”。

这也是怎么回事贝索斯称其遭到了 AMI 的勒索：握有来自沙特的实锤证据的 Pecker 可能想要获得更多利益，也可能想帮自己的老朋友特朗普“出出气”，煞一煞贝索斯的威风。

图 | “贝索斯手机被黑”事件背后错综复杂的关系网（来源：DeepTech）

结语

目前，针对联合国人权专家背书的最新调查结果，沙特政府尚未给出明确回应，而 AMI 方面此前曾极力否认资料来自沙特。

正在调查卡舒吉之死的联合国特别报告员 Callamard 表示，“对《华盛顿邮报》所有人兼世界最大的网购公司亚马逊首席执行官杰夫·贝索斯进行监听，违反了基本的国际人权标准”。

可以肯定的是，的确有来自王储萨勒曼 WhatsApp 账号的恶意程序藏于视频附件里，但仍然缺乏决定性证据，比如账号的使用者是萨勒曼本人或者受其指示，事件的走向尚不明朗。

也许在政治利益面前，能否有进一步反转仍未可知，追求真相的意义也没那么重要了。

不过这件事情也给我们普通人敲响了警钟，虽然我们不是世界首富，但对待隐私泄露问题绝不能疏于防范。

科技大佬贝索斯用亲身经历告诉我们，不要轻易点击陌生链接和视频，说不定哪一条看似无害的链接就能带来意想不到的后果。别等到自己中招的时候，才发现了自己和大佬又多了一个共同点，这可不是什么好事儿。

-End-

参考：

https://news.un.org/zh/story/2020/01/1049681