【51CTO.com快译】作为浏览和使用互联网时的基本提醒,我们总是被告知在点击超级链接、以及电子邮件的附件时,应当格外警惕,以免受到恶意代码的攻击。这已经成为了应当遵守的安全实践之一。不过,该建议只适用于绝大多数网络攻击的场景。而不幸的是,它无法保护我们免受“零点击”类型的攻击(Zero-Click Attack)。
由于零点击攻击会在没有任何警告、或人为交互的情况下,渗透到设备和系统中,因此它们极其难以被检测和防御。此外,从名称上看,您也许会问,零点击攻击与零日攻击是否同一概念?又是什么让它比起当前的各种主流攻击更加危险?下面,我将和您一起探究一番。
什么是零点击攻击?
众所周知,攻击者主要利用目标软件或消息传递应用程序中的各种漏洞,来进行滥用、甚至是攻击。虽然此类信息往往可以被攻击者从黑市上购买到,但是如前文所述,并非所有的网络攻击都需要用户的干预,才能达到扩散的效果。
零点击攻击,顾名思义它并不需要通过用户的鼠标点击,键盘按下,甚至是用户的交互,便可发生。由于它们不需要任何社会工程策略,去说服受害者主动点击恶意链接或附件,因此该攻击方式备受个人攻击者的喜爱。它们既不需要用户与受害者进行任何实质性的交互,又能够很好地隐蔽幕后的攻击者,让其行踪难觅。
零点击攻击是如何工作的?
零点击攻击主要针对的是那些提供消息或语音呼叫功能的应用程序,例如著名的WhatsApp应用软件和iMessage消息服务。毕竟这些服务能够从各种未知信源接收和解析数据。
通常,攻击者会专门制作一段数据,隐藏到诸如:文本消息、电子邮件、语音邮件或图像文件中,并使用Wi-Fi、NFC、蓝牙、GSM或LTE等无线连接,将其传送到目标设备上。这段数据完成传输后,会在目标硬件或软件层面上,利用某种未知的漏洞。
一个有关零点击攻击的典型例子便是,针对iPhone和iPad自带应用漏洞的“投毒”。自2012年9月苹果首次发布的带有iOS 6的iPhone 5以来,此类漏洞就一直存在。
是什么让零点击攻击如此危险?
总的说来,零点击攻击比较复杂,再配以攻击者充沛的资金和先进的开发能力,它们往往能够神不知鬼不觉地越过目标系统的基本防线。例如,零点击类型的电子邮件攻击,便可以在自我删除之前,复制整个收件箱。
毋庸置疑,零点击攻击将安全威胁提升到一个全新的水平。以下便是零点击攻击与主流网络攻击相比的“高超”之处:
- 前面已提到,零点击攻击不需要受害者点击链接,下载附件或浏览带有恶意软件的网站。由于一切都发生在幕后,因此用户可能全然不知。
- 攻击者不需要浪费时间去设置精心设计的陷阱,或通过某种诱饵,去诱导受害者执行某个具体的任务。这显然增加了零点击攻击的扩散范围。
- 零点击攻击通过向用户的手机发送一条并不触发任何通知的消息,实现将某个有针对性的跟踪工具或间谍软件,安装到受害者的设备上。用户甚至不需要解锁屏幕,其手机就会被感染。
- 这些攻击主要针对的是那些对网络安全有所了解的人员,毕竟攻击者无法通过诱骗的方式让他们点击恶意链接。
- 零点击攻击不会留下任何破坏过程产生的痕迹。
- 零点击攻击采用了目前最为先进的攻击技术,因此往往能够绕过各种安全端点、防病毒系统、以及防火墙。
除了上述特点之外,零点击攻击还能够通过利用网络的全面覆盖、Wi-Fi的漏洞、以及数据的去中心化等新的应用形态,成指数型增长地蔓延到移动设备中。因此,除了具有欺骗性,此类攻击还具有远程性和普遍性。
零点击和零日攻击的异同
大多数人都会混淆零点击和零日攻击的概念。虽然两者共享一个“零”字,但是这两种攻击在具体含义上不尽相同。零日攻击是指,攻击者发现软件或硬件上的漏洞,并在开发人员有机会创建相应的补丁,去修复该漏洞之前,植入恶意软件,对此类漏洞发起攻击。而零点击攻击则强调的是没有直接点击或交互,而让攻击得逞。
当然,两者之间也存在着相关性。零点击攻击有时会利用到那些潜藏最深的零日漏洞,来进行攻击。简单来说,由于开发者尚未被告知某种零日漏洞的危险,攻击者便可以使用零点击攻击的方式,对于此类难以检测或研究的漏洞进行利用与攻击。
Pegasus间谍软件属于零点击攻击吗?
2021年9月,总部位于多伦多的公民实验室(Citizen Lab)宣布发现了一种零点击攻击。该攻击允许攻击者在受害者的设备(包括iPhone、iPad、MacBook和Apple Watch)上安装Pegasus恶意软件。作为典型零点击类恶意软件案例,Pegasus会被植入Apple产品的iMessage服务,进而获取设备上的隐私信息。
例如,为了传输Pegasus恶意软件,攻击者会使用一种恶意的PDF,以自动执行代码的形式,将受感染设备上的数据提交到持续进行侦听的设备上。幸运的是,Apple已经开发了适合iPhone的iOS 14.8、适合iPad的iPadOS 14.8、以及适用于Apple Watch Series 3及更高版本的watchOS 7.6.2,针对此漏洞的相关补丁。如果您对此感兴趣的话,可以通过《我的iPhone被Pegasus间谍软件感染的吗?》一文,了解更多信息。
免受零点击攻击的技巧
不幸的是,鉴于零点击攻击的不可见性,完全让我们的设备独善其身,显然是不可能的。不过好消息是,此类型攻击由于既复杂又高端,因此主要针对的是政治间谍、非富即贵的知人。当然,我们也可以通过如下方面,将此类风险降至最低:
- 始终保持您的设备、应用程序、以及浏览器为最新状态。
- 手机异常发热、屏幕无法点亮、或通话时异常中断等现象,都可能与零点击攻击有着密切关系。
- 安装知名且强大的反间谍软件和反恶意软件工具。
- 在公共或陌生环境下连接互联网时,请始终使用自有网络。
- 对于组织而言,聘请外部网络安全专家、或漏洞赏金猎人(bug bounty hunter)可以协助您发现潜在的漏洞和弱点。
- 如果您是智能手机的制造商、或是软件开发商,那么在对外发布产品之前,应该仔细测试自己的产品是否存在潜在的漏洞。
- 大多数软件公司都会要求其开发人员在产品的开发过程中,进行代码审查,并在最终交付的新版本或发行版中,修补好可能被零点击攻击所利用的漏洞。
- 避免成为越狱设备。当然,如果您安装了某些不在通用应用(Play)商店中的应用,也可能会增加设备对于远程攻击的脆弱性。
- 在安装新的应用时,请仔细阅读其相关细则,并检查其请求获得的权限。
总之,零点击的特性注定了您不可掉以轻心。而作为用户,您应该尽一切可能避免攻击者从物理上和逻辑上触及到您的设备。
原文标题:What Is a Zero-Click Attack and What Makes It So Dangerous?,作者:Kinza Yasar
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】
