“零點擊攻擊”的概念及其危害性
譯文【51CTO.com快譯】作為瀏覽和使用互聯網時的基本提醒,我們總是被告知在點擊超級鏈接、以及電子郵件的附件時,應當格外警惕,以免受到惡意代碼的攻擊。這已經成為了應當遵守的安全實踐之一。不過,該建議只適用于絕大多數網絡攻擊的場景。而不幸的是,它無法保護我們免受“零點擊”類型的攻擊(Zero-Click Attack)。
由于零點擊攻擊會在沒有任何警告、或人為交互的情況下,滲透到設備和系統中,因此它們極其難以被檢測和防御。此外,從名稱上看,您也許會問,零點擊攻擊與零日攻擊是否同一概念?又是什么讓它比起當前的各種主流攻擊更加危險?下面,我將和您一起探究一番。
什么是零點擊攻擊?
眾所周知,攻擊者主要利用目標軟件或消息傳遞應用程序中的各種漏洞,來進行濫用、甚至是攻擊。雖然此類信息往往可以被攻擊者從黑市上購買到,但是如前文所述,并非所有的網絡攻擊都需要用戶的干預,才能達到擴散的效果。
零點擊攻擊,顧名思義它并不需要通過用戶的鼠標點擊,鍵盤按下,甚至是用戶的交互,便可發生。由于它們不需要任何社會工程策略,去說服受害者主動點擊惡意鏈接或附件,因此該攻擊方式備受個人攻擊者的喜愛。它們既不需要用戶與受害者進行任何實質性的交互,又能夠很好地隱蔽幕后的攻擊者,讓其行蹤難覓。
零點擊攻擊是如何工作的?
零點擊攻擊主要針對的是那些提供消息或語音呼叫功能的應用程序,例如著名的WhatsApp應用軟件和iMessage消息服務。畢竟這些服務能夠從各種未知信源接收和解析數據。
通常,攻擊者會專門制作一段數據,隱藏到諸如:文本消息、電子郵件、語音郵件或圖像文件中,并使用Wi-Fi、NFC、藍牙、GSM或LTE等無線連接,將其傳送到目標設備上。這段數據完成傳輸后,會在目標硬件或軟件層面上,利用某種未知的漏洞。
一個有關零點擊攻擊的典型例子便是,針對iPhone和iPad自帶應用漏洞的“投毒”。自2012年9月蘋果首次發布的帶有iOS 6的iPhone 5以來,此類漏洞就一直存在。
是什么讓零點擊攻擊如此危險?
總的說來,零點擊攻擊比較復雜,再配以攻擊者充沛的資金和先進的開發能力,它們往往能夠神不知鬼不覺地越過目標系統的基本防線。例如,零點擊類型的電子郵件攻擊,便可以在自我刪除之前,復制整個收件箱。
毋庸置疑,零點擊攻擊將安全威脅提升到一個全新的水平。以下便是零點擊攻擊與主流網絡攻擊相比的“高超”之處:
- 前面已提到,零點擊攻擊不需要受害者點擊鏈接,下載附件或瀏覽帶有惡意軟件的網站。由于一切都發生在幕后,因此用戶可能全然不知。
- 攻擊者不需要浪費時間去設置精心設計的陷阱,或通過某種誘餌,去誘導受害者執行某個具體的任務。這顯然增加了零點擊攻擊的擴散范圍。
- 零點擊攻擊通過向用戶的手機發送一條并不觸發任何通知的消息,實現將某個有針對性的跟蹤工具或間諜軟件,安裝到受害者的設備上。用戶甚至不需要解鎖屏幕,其手機就會被感染。
- 這些攻擊主要針對的是那些對網絡安全有所了解的人員,畢竟攻擊者無法通過誘騙的方式讓他們點擊惡意鏈接。
- 零點擊攻擊不會留下任何破壞過程產生的痕跡。
- 零點擊攻擊采用了目前最為先進的攻擊技術,因此往往能夠繞過各種安全端點、防病毒系統、以及防火墻。
除了上述特點之外,零點擊攻擊還能夠通過利用網絡的全面覆蓋、Wi-Fi的漏洞、以及數據的去中心化等新的應用形態,成指數型增長地蔓延到移動設備中。因此,除了具有欺騙性,此類攻擊還具有遠程性和普遍性。
零點擊和零日攻擊的異同
大多數人都會混淆零點擊和零日攻擊的概念。雖然兩者共享一個“零”字,但是這兩種攻擊在具體含義上不盡相同。零日攻擊是指,攻擊者發現軟件或硬件上的漏洞,并在開發人員有機會創建相應的補丁,去修復該漏洞之前,植入惡意軟件,對此類漏洞發起攻擊。而零點擊攻擊則強調的是沒有直接點擊或交互,而讓攻擊得逞。
當然,兩者之間也存在著相關性。零點擊攻擊有時會利用到那些潛藏最深的零日漏洞,來進行攻擊。簡單來說,由于開發者尚未被告知某種零日漏洞的危險,攻擊者便可以使用零點擊攻擊的方式,對于此類難以檢測或研究的漏洞進行利用與攻擊。
Pegasus間諜軟件屬于零點擊攻擊嗎?
2021年9月,總部位于多倫多的公民實驗室(Citizen Lab)宣布發現了一種零點擊攻擊。該攻擊允許攻擊者在受害者的設備(包括iPhone、iPad、MacBook和Apple Watch)上安裝Pegasus惡意軟件。作為典型零點擊類惡意軟件案例,Pegasus會被植入Apple產品的iMessage服務,進而獲取設備上的隱私信息。
例如,為了傳輸Pegasus惡意軟件,攻擊者會使用一種惡意的PDF,以自動執行代碼的形式,將受感染設備上的數據提交到持續進行偵聽的設備上。幸運的是,Apple已經開發了適合iPhone的iOS 14.8、適合iPad的iPadOS 14.8、以及適用于Apple Watch Series 3及更高版本的watchOS 7.6.2,針對此漏洞的相關補丁。如果您對此感興趣的話,可以通過《我的iPhone被Pegasus間諜軟件感染的嗎?》一文,了解更多信息。
免受零點擊攻擊的技巧
不幸的是,鑒于零點擊攻擊的不可見性,完全讓我們的設備獨善其身,顯然是不可能的。不過好消息是,此類型攻擊由于既復雜又高端,因此主要針對的是政治間諜、非富即貴的知人。當然,我們也可以通過如下方面,將此類風險降至最低:
- 始終保持您的設備、應用程序、以及瀏覽器為最新狀態。
- 手機異常發熱、屏幕無法點亮、或通話時異常中斷等現象,都可能與零點擊攻擊有著密切關系。
- 安裝知名且強大的反間諜軟件和反惡意軟件工具。
- 在公共或陌生環境下連接互聯網時,請始終使用自有網絡。
- 對于組織而言,聘請外部網絡安全專家、或漏洞賞金獵人(bug bounty hunter)可以協助您發現潛在的漏洞和弱點。
- 如果您是智能手機的制造商、或是軟件開發商,那么在對外發布產品之前,應該仔細測試自己的產品是否存在潛在的漏洞。
- 大多數軟件公司都會要求其開發人員在產品的開發過程中,進行代碼審查,并在最終交付的新版本或發行版中,修補好可能被零點擊攻擊所利用的漏洞。
- 避免成為越獄設備。當然,如果您安裝了某些不在通用應用(Play)商店中的應用,也可能會增加設備對于遠程攻擊的脆弱性。
- 在安裝新的應用時,請仔細閱讀其相關細則,并檢查其請求獲得的權限。
總之,零點擊的特性注定了您不可掉以輕心。而作為用戶,您應該盡一切可能避免攻擊者從物理上和邏輯上觸及到您的設備。
原文標題:What Is a Zero-Click Attack and What Makes It So Dangerous?,作者:Kinza Yasar
【51CTO譯稿,合作站點轉載請注明原文譯者和出處為51CTO.com】
