?零點擊攻擊的定義

與大多數(shù)網(wǎng)絡攻擊不同，零點擊攻擊不需要與目標用戶進行任何交互，比如點擊鏈接、啟用宏或啟動可執(zhí)行文件。它們相對較復雜，經(jīng)常用于網(wǎng)絡間諜活動，并且一般很少留下痕跡——這些造就了它們的危險性。

一旦設備失陷，那么攻擊者就可以在該設備上安全監(jiān)視軟件，或?qū)嵤┮环N更具破壞性的策略——通過對文件加密并截獲這些加密文件來換取贖金。一般情況下，受害者無法知曉自己是何時以及如何被零點擊攻擊的，這也意味著用戶無法有效地保護自己。

零點擊攻擊是如何工作的

隨著監(jiān)控行業(yè)的快速發(fā)展，零點擊攻擊也逐漸流行。其中最為流行的間諜軟件之一就是NGO集團的 Pegasus，它通常被用來監(jiān)控記者、積極分子、世界領導人以及公司高管?？梢钥隙ǖ氖牵麄冎兄辽儆幸恍┤艘呀?jīng)接到了WhatsApp通話，甚至都不需要接聽。

通信應用是零點擊攻擊的常見目標。這是由于它們無需從設備所有者那里采取任何行動，就可以從未知的來源接收大量數(shù)據(jù)。大多數(shù)情況下，攻擊者會利用數(shù)據(jù)處理或驗證過程中的漏洞。

Fortinet's FortiGuard 實驗室的研究員 Aamir Lakhani表示，其他一些不太為人所知的零點擊攻擊類型一直沒有受到太多的關注。他舉了兩個例子：解析器應用程序的利用（當用戶在PDF或郵件應用中查看圖片時，無需用戶的點擊或交互，攻擊者就可以悄悄地攻擊目標系統(tǒng)。）和WiFi鄰近攻擊（試圖在WiFi堆棧上尋找漏洞，并將漏洞代碼上傳到位于內(nèi)核的用戶空間中，以遠程接管目標系統(tǒng)）

零點擊攻擊通常依賴于軟件制造商所未知的零日攻擊。Lakhani表示，正是因為不知道它們的存在，所以制造商通常無法發(fā)布補丁來修復它們，這樣就使得用戶處于危險之中。并且，即使是那些非常警惕的用戶也同樣無法避免零日和零點擊的雙重攻擊?！?/p>

此類攻擊通常針對于那些高價值的目標，它們具有很高的攻擊價值。Palo Alto Networks的第42單元的威脅情報副總裁，Ryan Olson表示，在開放市場上購買漏洞的Zerodium，為針對安卓系統(tǒng)的零點擊漏洞花費了高達250萬美元。

零點擊攻擊的例子

零點擊攻擊的目標可以是任何東西，從智能手機到臺式電腦，甚至是物聯(lián)網(wǎng)設備。此類攻擊最早被定義于2010年，安全研究員 Chris Paget在第18屆DEFCON黑客大會上演示了如何利用全球移動通信系統(tǒng)(GSM)的漏洞攔截電話和短信，并解釋GSM協(xié)議已被設計破壞。

另一個早期的零點擊漏洞是在2015年發(fā)現(xiàn)的，當時安卓惡意軟件家族Shedun利用安卓無障礙服務的合法功能，在用戶無任何舉動的情況下，來安裝廣告軟件。通過獲得使用可訪問性服務的權限，Shedun能夠讀取到受害者屏幕上出現(xiàn)的文本、確定是否顯示了應用程序安裝提示、滾動權限列表，以及最后的按下安裝按鈕，而在此過程中，用戶無需進行任何的物理交互。

一年后，也就是2016年，事情變得更加復雜。阿拉伯聯(lián)合酋長國的監(jiān)視工具Karma進行了一次零點擊攻擊，它利用了iMessage中發(fā)現(xiàn)的零日漏洞。Karma只需要提供用戶的電話號碼或電子郵件地址。隨后，短信就被發(fā)送給了受害者，受害者甚至不必點擊鏈接就會被感染。

一旦蘋果手機接收到短信，攻擊者就可以竊取到照片、電子郵件和位置數(shù)據(jù)等信息。使用此類工具的黑客組織被稱為“ Project Raven”，其中包括幫助阿拉伯聯(lián)合酋長國來監(jiān)控政府和人權活動積極分子的美國情報黑客。

到了2020，隨著監(jiān)控公司以及民族國家行為者開始開發(fā)無需用戶采取任何操作的工具，零點擊攻擊也受到了越來越高的關注，Amnesty International的技術專家 Etienne Maynier表示：我們以往關注的通過SMS鏈接進行的攻擊，如今變成了通過網(wǎng)絡注射的零點擊攻擊。

Amnesty 和the Citizen Lab實驗室參與了幾起與NSO集團的  Pegasus間諜軟件相關的案件。這些案件與幾起謀殺案有關，其中包括《華盛頓郵報》記者Jamal Khashoggi謀殺案。一旦被安裝在手機上， Pegasus就可以竊取短信、跟蹤電話、監(jiān)控受害者的位置、訪問設備的麥克風和攝像頭、 竊取密碼，以及從應用程序中收集信息

Khashoggi與他的親信并不是唯一的受害者。2019年，WhatsApp的一個漏洞被利用來攻擊加泰羅尼亞的公民社會和政治人物。攻擊者首先在WhatsApp上與受害者進行視頻通話。此過程無需受害者的接聽，因為發(fā)送到聊天應用程序上的數(shù)據(jù)并沒有被有效殺毒。這使得Pegasus代碼可以在目標設備上運行，并成功安裝間諜軟件。目前WhatsApp已經(jīng)修補了該漏洞，并通知了1400名目標用戶。

另一個與NSO集團的Pegasus相關的零點擊攻擊是基于蘋果公司的iMessage中的一個漏洞。2021年，Citizen Lab實驗室發(fā)現(xiàn)了一個被用于針對一名沙特活動人士的漏洞痕跡。這種攻擊依賴于在iMessage中解析gif的錯誤，并將包含惡意代碼的PDF文檔偽裝為GIF。谷歌的Project Zero在對該漏洞的分析中表示：最值得關注的是，從一個相當受限的沙箱中可以到達攻擊面的深度。

零點擊攻擊并不僅僅局限于手機。曾有一個零點擊漏洞被利用，未經(jīng)驗證的攻擊者可以完全控制 Hikvision的安全攝像頭。同年，微軟的一個漏洞被發(fā)現(xiàn)也是可以被攻擊者利用的，通過該漏洞，黑客可以通過主要的操作系統(tǒng)（Windows, MacOS, Linux）來訪問目標設備。

如何檢測與緩解零點擊攻擊

Maynier表示，實際上，準確判斷受害者是否被感染是相當困難的，并且防止零點擊攻擊也幾乎是不可能的。零點擊攻擊比我們想象中要常見得多。他建議潛在的攻擊目標應對自己的所有數(shù)據(jù)進行加密，定時更新設備，設置復雜的密碼，并盡一切努力保護自己的數(shù)字資產(chǎn)。同時Maynier也告誡他們要預測可能會受到的攻擊，并及時地做出應對。

盡管如此，用戶還是可以通過一定的努力來盡量降低被監(jiān)視的風險。其中最簡單的方法是：定期重啟蘋果手機。Amnesty 的專家表示，這可以在一定程度上阻止 Pegasus代碼在ios系統(tǒng)上的活動——至少是暫時的。這樣做的優(yōu)點是可以禁用任何運行中的沒有實現(xiàn)持久性的代碼。而缺點是，重新啟動設備可能會消除感染發(fā)生的跡象，使安全研究人員更難判斷設備是否被 Pegasus所盯上。

同時，用戶還應該避免對他們的設備進行“越獄”，因為“越獄”行為刪除了固件中內(nèi)置的一些安全控件。除此之外，由于他們可以在越獄的設備上安裝未經(jīng)驗證的軟件，所以這也增加了安裝漏洞代碼的風險，而這也正是零點擊攻擊的主要目標。

同時，保持良好的安全衛(wèi)生也會對避免零點擊攻擊有所幫助。Lakhani表示，網(wǎng)絡、應用程序以及用戶的分割、多因素認證機制的應用、強大的流量監(jiān)控、良好的網(wǎng)絡安全衛(wèi)生以及先進的安全分析也可以在特定情況下降低風險。這些活動也會讓攻擊者的后攻擊活動變得困難，即使它們已經(jīng)對系統(tǒng)造成了威脅。

Maynier補充說：知名度高的目標應該對數(shù)據(jù)進行隔離，并且配置一個僅用于敏感通信的設備。他建議用戶“在手機上保留盡可能少的信息”。并且當進行重要的面談時，盡量不要將手機帶入面談環(huán)境中。

Amnesty 和 Citizen Lab實驗室等組織發(fā)布了一些指南，以指導用戶將智能手機連接到個人電腦上，以檢查手機是否已經(jīng)感染了 Pegasus。用于此功能的的軟件，移動驗證工具包，依賴于已知的淪陷指標，如緩存的收藏夾以及短信中出現(xiàn)的 URL。用戶不必通過越獄破解他們的設備來運行此工具。

此外，蘋果和WhatsApp都向那些可能被安裝Pegasus零點擊攻擊的用戶發(fā)送了消息。隨后，其中的一些人聯(lián)系了Citizen Lab實驗室等組織，以求進一步分析自己的設備。

然而， Maynier表示：技術本身并不能解決問題，這從根本上講是一個政策和制度的問題。Amnesty, EDRi 以及許多其他組織呼吁全球暫停使用、銷售或轉(zhuǎn)讓監(jiān)測技術，直到建立一個合適的人權監(jiān)管框架，以保護人權捍衛(wèi)者和公民社會免受這些工具的濫用。

他說，政策方面的解決方案必須涵蓋這個問題的不同方面，從出口管制到對公司的強制性人權盡職調(diào)查。我們需要首先制止這些廣泛存在的濫用行為。

點評

零點擊攻擊的危險性主要在于即使被攻擊方不進行任何交互，攻擊方仍可以通過一定的手段來進行對其進行攻擊。這使得被攻擊方幾乎完全處于被動地位，既無法對其危險行為進行規(guī)避，亦無法檢測自己是否已陷入被攻擊狀態(tài)?？芍^是“殺人于無形”。因此，我們只能從源頭兩端對其進行防御，一方面在于對檢測技術的使用權以及交易權進行限制，另一方面則需要用戶盡可能地增加訪問其關鍵信息的難度與復雜程度。