【51CTO快译】作为浏览和使用互联网时的基本提醒,我们总是被告知在点击超级链接、以及电子邮件的附件时,应当格外警惕,以免受到恶意代码的攻击。这已经成为了应当遵守的安全实践之一。不过,该建议只适用于绝大多数网络攻击的场景。而不幸的是,它无法保护我们免受“零点击”类型的攻击(Zero-Click  Attack)。

由于零点击攻击会在没有任何警告、或人为交互的情况下,渗透到设备和系统中,因此它们极其难以被检测和防御。此外,从名称上看,您也许会问,零点击攻击与零日攻击是否同一概念?又是什么让它比起当前的各种主流攻击更加危险?下面,我将和您一起探究一番。

众所周知,攻击者主要利用目标软件或消息传递应用程序中的各种漏洞,来进行滥用、甚至是攻击。虽然此类信息往往可以被攻击者从黑市上购买到,但是如前文所述,并非所有的网络攻击都需要用户的干预,才能达到扩散的效果。

零点击攻击,顾名思义它并不需要通过用户的鼠标点击,键盘按下,甚至是用户的交互,便可发生。由于它们不需要任何社会工程策略,去说服受害者主动点击恶意链接或附件,因此该攻击方式备受个人攻击者的喜爱。它们既不需要用户与受害者进行任何实质性的交互,又能够很好地隐蔽幕后的攻击者,让其行踪难觅。

零点击攻击主要针对的是那些提供消息或语音呼叫功能的应用程序,例如著名的WhatsApp应用软件和iMessage消息服务。毕竟这些服务能够从各种未知信源接收和解析数据。

通常,攻击者会专门制作一段数据,隐藏到诸如:文本消息、电子邮件、语音邮件或图像文件中,并使用Wi-Fi、NFC、蓝牙、GSM或LTE等无线连接,将其传送到目标设备上。这段数据完成传输后,会在目标硬件或软件层面上,利用某种未知的漏洞。

一个有关零点击攻击的典型例子便是,针对iPhone和iPad自带应用漏洞的“投毒”。自2012年9月苹果首次发布的带有iOS 6的iPhone  5以来,此类漏洞就一直存在。

总的说来,零点击攻击比较复杂,再配以攻击者充沛的资金和先进的开发能力,它们往往能够神不知鬼不觉地越过目标系统的基本防线。例如,零点击类型的电子邮件攻击,便可以在自我删除之前,复制整个收件箱。

毋庸置疑,零点击攻击将安全威胁提升到一个全新的水平。以下便是零点击攻击与主流网络攻击相比的“高超”之处:

除了上述特点之外,零点击攻击还能够通过利用网络的全面覆盖、Wi-Fi的漏洞、以及数据的去中心化等新的应用形态,成指数型增长地蔓延到移动设备中。因此,除了具有欺骗性,此类攻击还具有远程性和普遍性。

大多数人都会混淆零点击和零日攻击的概念。虽然两者共享一个“零”字,但是这两种攻击在具体含义上不尽相同。零日攻击是指,攻击者发现软件或硬件上的漏洞,并在开发人员有机会创建相应的补丁,去修复该漏洞之前,植入恶意软件,对此类漏洞发起攻击。而零点击攻击则强调的是没有直接点击或交互,而让攻击得逞。

当然,两者之间也存在着相关性。零点击攻击有时会利用到那些潜藏最深的零日漏洞,来进行攻击。简单来说,由于开发者尚未被告知某种零日漏洞的危险,攻击者便可以使用零点击攻击的方式,对于此类难以检测或研究的漏洞进行利用与攻击。

2021年9月,总部位于多伦多的公民实验室(Citizen  Lab)宣布发现了一种零点击攻击。该攻击允许攻击者在受害者的设备(包括iPhone、iPad、MacBook和Apple  Watch)上安装Pegasus恶意软件。作为典型零点击类恶意软件案例,Pegasus会被植入Apple产品的iMessage服务,进而获取设备上的隐私信息。

例如,为了传输Pegasus恶意软件,攻击者会使用一种恶意的PDF,以自动执行代码的形式,将受感染设备上的数据提交到持续进行侦听的设备上。幸运的是,Apple已经开发了适合iPhone的iOS  14．8、适合iPad的iPadOS 14．8、以及适用于Apple Watch Series 3及更高版本的watchOS  7．6．2,针对此漏洞的相关补丁。

不幸的是,鉴于零点击攻击的不可见性,完全让我们的设备独善其身,显然是不可能的。不过好消息是,此类型攻击由于既复杂又高端,因此主要针对的是政治间谍、非富即贵的知人。当然,我们也可以通过如下方面,将此类风险降至最低:

总之,零点击的特性注定了您不可掉以轻心。而作为用户,您应该尽一切可能避免攻击者从物理上和逻辑上触及到您的设备。

【51CTO译稿,合作站点转载请注明原文译者和出处】

【编辑推荐】

来源:51CTO陈峻