零点击攻击的定义与大多数网络攻击不同,零点击攻击不需要与目标用户进行任何交互,例如单击链接、启用宏或启动可执行文件。它们相对复杂,经常用于网络间谍活动,通常不会留下任何痕迹——这使它们很危险。一旦设备遭到破坏,攻击者就可以安全地监控设备上的软件,或者通过加密文件并拦截它们以换取赎金来实施更具破坏性的策略。一般来说,受害者无法知道自己何时以及如何受到零点击攻击,这也意味着用户无法有效保护自己。零点击攻击的工作原理随着监控行业的快速发展,零点击攻击越来越流行。最受欢迎的间谍软件之一是非政府组织组织Pegasus,它通常用于监视记者、活动家、世界领导人和企业高管。可以肯定的是,至少他们中的一些人接到了WhatsApp电话,甚至不需要接听。通信应用程序是零点击攻击的常见目标。这是因为他们可以在设备所有者不采取任何行动的情况下从未知来源接收大量数据。大多数时候,攻击者利用数据处理或验证中的漏洞。Fortinet的FortiGuard实验室的研究员AamirLakhani表示,其他鲜为人知的零点击攻击类型并未受到太多关注。他举了两个例子:解析器应用程序利用(攻击者在用户查看PDF或邮件应用程序中的图像时无需用户单击或交互的情况下偷偷攻击目标系统。)和WiFi邻近攻击(试图在目标系统上查找漏洞)WiFi堆栈并将漏洞利用代码上传到位于内核的用户空间以远程接管目标系统)零点击攻击通常依赖于软件制造商未知的零日漏洞利用。Lakhani说,由于不知道它们的存在,制造商通常无法发布补丁来修复它们,从而使用户处于危险之中。而且,即使是那些非常警惕的用户也不能免受零日和零点击的双重攻击。“这种类型的攻击通常是针对那些高价值的目标,这些目标具有很高的攻击价值。PaloAltoNetworks的Unit42威胁情报副总裁RyanOlson表示,在公开市场Zerodium上购买漏洞利用程序,用于瞄准Android系统的零点击攻击成本高达250万美元零点击攻击示例零点击攻击可以针对从智能手机到台式电脑甚至物联网设备的任何事物。此类攻击最早定义于2010年。在第18届DEFCON黑客大会上,安全研究员ChrisPaget演示了如何利用全球移动通信系统(GSM)中的漏洞拦截电话和短信,并解释说GSM协议已被攻破通过设计。2015年发现了另一个早期的零点击漏洞,当时Android恶意软件家族Shedun利用AndroidAccessibilityService的合法功能安装广告软件,而无需用户采取任何操作。通过访问无障碍服务,Shedun能够读取受害者屏幕上显示的文本,确定是否显示了应用程序安装提示,滚动权限列表,最后按下安装按钮,在此过程中,用户不需要执行任何物理交互。一年后的2016年,事情变得更加复杂。基于阿拉伯联合酋长国的监视工具Karma已执行零点击攻击,该攻击利用了iMessage中发现的零日漏洞。Karma只需要用户的电话号码或电子邮件地址。然后将短信发送给受害者,受害者甚至不必点击链接就会被感染。一旦iPhone收到短信,攻击者就可以窃取照片、电子邮件和位置数据等信息。使用此类工具的黑客组织被称为“ProjectRaven”,其中包括帮助阿拉伯联合酋长国监视政府和人权活动家的美国情报黑客。2020年,随着监控公司和民族国家行为者开始开发不需要用户采取任何行动的工具,零点击攻击也受到越来越多的关注,国际特赦组织的技术专家艾蒂安·梅尼尔(EtienneMaynier)说:我们过去常常关注通过链接进行的短信攻击现在已经变成了通过网络注入的零点击攻击。Amnesty和CitizenLab参与了多起与NSOGroup的Pegasus间谍软件有关的案件。这些案件与多起谋杀案有关,包括记者贾迈勒·卡舒吉(JamalKhashoggi)的谋杀案。一旦安装在手机上,Pegasus就可以窃取短信、跟踪通话、监控受害者的位置、访问设备的麦克风和摄像头、窃取密码以及从应用程序中获取信息。卡舒吉和他的亲信并不是唯一的受害者。2019年,WhatsApp的一个漏洞被利用来针对加泰罗尼亚的民间社会和政治人物。攻击者首先在WhatsApp上与受害者进行视频通话。这个过程不需要受害者回答,因为发送到聊天应用程序的数据没有得到有效清理。这允许Pegasus代码在目标设备上运行并成功安装间谍软件。WhatsApp现在已经修补了漏洞并通知了1,400名目标用户。另一个与NSOGroup的Pegasus相关的零点击攻击是基于Apple的iMessage中的一个漏洞。2021年,CitizenLab发现了针对一名沙特激进分子的攻击痕迹。这种攻击依赖于解析iMessage中的gif并将包含恶意代码的PDF文档伪装成GIF的错误。在对漏洞的分析中,谷歌的零项目表示:“最值得注意的是攻击面的深度,可以从一个相当受限的沙箱内到达。零点击攻击不仅限于手机。零点击漏洞被利用允许未经身份验证的攻击者完全控制海康威视安全摄像头。,MacOS,Linux).如何检测和缓解零点击攻击Maynier说实际上,准确判断受害者是否被感染是相当困难的,防止零点击攻击几乎是不可能的。零点击攻击更为常见他建议潜在目标加密他们的所有数据,定期更新设备,设置复杂的密码,并尽其所能保护他们的数字资产。同时,梅尼尔还警告他们要预见可能发生的袭击事件,并及时做出反应。尽管如此,用户仍然可以通过一定的努力将被监控的风险降到最低。最简单的方法之一是定期重启iPhone。国际特赦组织的专家表示,这可能会在某种程度上阻止iOS系统上的Pegasus代码活动——至少暂时如此。这具有禁用任何未实现持久性的运行代码的优点。缺点是重启设备可能会消除发生感染的迹象,使安全研究人员更难判断设备是否成为Pegasus的目标。用户还应该避免“越狱”他们的设备,这会删除固件中内置的一些安全控制。最重要的是,由于他们可以在越狱设备上安装未经身份验证的软件,这也增加了安装漏洞利用代码的风险,而漏洞利用代码是零点击攻击的主要目标。同时,保持良好的安全卫生也有助于避免零点击攻击。Lakhani说,网络、应用程序和用户的分段、多因素身份验证机制的应用、强大的流量监控、良好的网络安全卫生和高级安全分析也可以降低特定情况下的风险。这些活动还使攻击者难以执行开发后活动,即使他们已经破坏了系统。Maynier补充说:高知名度的目标应该隔离他们的数据,并且设备只用于敏感通信。他建议用户“在电话中保留尽可能少的信息”。并且在进行重要面试时,尽量不要将手机带入面试环境。Amnesty和CitizenLab等组织已发布指南,让用户将智能手机连接到PC,以检查他们是否感染了Pegasus。用于此功能的软件MobileVerificationToolkit依赖于已知的妥协指标,例如缓存的收藏夹和文本消息中出现的URL。用户无需越狱设备即可运行此工具。此外,Apple和WhatsApp都向可能在Pegasus上安装了零点击攻击的用户发送了消息。他们中的一些人随后联系了CitizenLab等组织,以进一步分析他们的设备。不过,梅尼尔表示:单靠技术并不能解决问题,这从根本上是政策和制度的问题。国际特赦组织、EDRi和许多其他组织呼吁在全球范围内暂停使用、销售或转让监视技术,直到建立适当的人权监管框架以保护人权捍卫者和民间社会免遭滥用这些工具。他说,明智的政策解决方案必须涵盖问题的不同方面,从出口管制到对公司的强制性人权尽职调查。我们首先需要制止这些普遍存在的滥用行为。评论零点击攻击的危险在于,即使被攻击方不进行任何交互,攻击者仍然可以通过一定的手段对其进行攻击。这使得被攻击方几乎完全处于被动状态,无法避免其危险行为,也无法察觉自己是否已经陷入被攻击状态。可谓“杀人于无形”。所以只能从两方面来防御。一方面是限制使用权和交易检测技术,另一方面是要求用户尽可能增加获取其关键信息的难度和复杂度。
