Google TAG 报告详细描述商业监控供应商行业

执行摘要

Google的威胁分析小组（TAG）在2026年4月30日发布了一份全面的报告，详细描述了商业监控供应商（CSV）行业——这是一个价值120亿美元的生态系统，由开发和销售间谍软件、黑客工具和监控能力的公司组成，这些工具被全球的政府和执法机构使用。报告识别了50多个活跃的供应商，并记录了他们的工具如何被用来针对记者、人权活动家、政治异见者和律师，破坏言论自由和民主进程。

技术分析

根据Google TAG的研究，自2020年以来，CSV行业已经显著成熟，供应商现在提供基于订阅的零日漏洞、设备入侵链和数据泄露服务。报告将供应商分为三个层级：第一层包括像NSO Group（Pegasus）、Intellexa（Predator）和Cytrox（Alien）这样的成熟参与者——拥有复杂漏洞利用能力和政府合同的公司。第二层包括Candiru、QuaDream和Variston等较小的区域性供应商，它们提供针对性监控工具，透明度较低。第三层包括数十家能力较低但迅速扩散的供应商，销售低成本的间谍软件、跟踪软件和社会工程工具包。

Google TAG指出，该行业的增长是由薄弱的出口控制、供应商本国的法律漏洞和来自威权政权的日益增长的需求推动的。报告强调了向“间谍软件即服务”模式的趋势，供应商提供端到端的入侵和数据收集，而不需要客户维护技术基础设施。这降低了网络能力有限的政府的进入门槛。

关键技术发现包括：

• 零日漏洞市场：CSV供应商积极购买和囤积iOS、Android和消息平台的零日漏洞。Google TAG观察到供应商使用在发现后90天内被修补的漏洞，表明快速武器化。
• 网络钓鱼和社会工程：许多供应商部署使用被破坏的合法基础设施的鱼叉式网络钓鱼活动，包括被劫持的电子邮件账户和克隆的网站，以提供初始访问。
• 网络注入：一些供应商使用SS7和其他电信协议弱点来拦截基于SMS的双因素认证代码，使账户接管成为可能。
• 持久性机制：高级供应商部署了根套件和启动套件级别的持久性，即使设备重置后也能存活，使用的技术类似于以前NSO Group披露的技术。

报告没有提供具体的CVE ID或技术入侵指标，因为它的重点在于行业结构和政策建议，而不是个别漏洞。

缓解措施与建议

Google TAG建议防御者——特别是处于高风险的记者、活动家和律师——实施设备加固措施，包括定期更新操作系统、在iOS上使用锁定模式、默认禁用JavaScript，并为敏感通信维护单独的设备。组织应该部署可以检测异常行为的移动设备管理（MDM）解决方案，例如意外的SMS消息、不寻常的电池消耗或未经授权的应用程序安装。在政策层面，Google呼吁加强对监控技术的出口控制，强制供应商披露漏洞要求，并达成国际协议，限制向人权记录不佳的政府出售间谍软件。