?零點(diǎn)擊攻擊的定義

與大多數(shù)網(wǎng)絡(luò)攻擊不同，零點(diǎn)擊攻擊不需要與目標(biāo)用戶進(jìn)行任何交互，比如點(diǎn)擊鏈接、啟用宏或啟動可執(zhí)行文件。它們相對較復(fù)雜，經(jīng)常用于網(wǎng)絡(luò)間諜活動，并且一般很少留下痕跡——這些造就了它們的危險(xiǎn)性。

一旦設(shè)備失陷，那么攻擊者就可以在該設(shè)備上安全監(jiān)視軟件，或?qū)嵤┮环N更具破壞性的策略——通過對文件加密并截獲這些加密文件來換取贖金。一般情況下，受害者無法知曉自己是何時(shí)以及如何被零點(diǎn)擊攻擊的，這也意味著用戶無法有效地保護(hù)自己。

零點(diǎn)擊攻擊是如何工作的

隨著監(jiān)控行業(yè)的快速發(fā)展，零點(diǎn)擊攻擊也逐漸流行。其中最為流行的間諜軟件之一就是NGO集團(tuán)的 Pegasus，它通常被用來監(jiān)控記者、積極分子、世界領(lǐng)導(dǎo)人以及公司高管。可以肯定的是，他們之中至少有一些人已經(jīng)接到了WhatsApp通話，甚至都不需要接聽。

通信應(yīng)用是零點(diǎn)擊攻擊的常見目標(biāo)。這是由于它們無需從設(shè)備所有者那里采取任何行動，就可以從未知的來源接收大量數(shù)據(jù)。大多數(shù)情況下，攻擊者會利用數(shù)據(jù)處理或驗(yàn)證過程中的漏洞。

Fortinet's FortiGuard 實(shí)驗(yàn)室的研究員 Aamir Lakhani表示，其他一些不太為人所知的零點(diǎn)擊攻擊類型一直沒有受到太多的關(guān)注。他舉了兩個例子：解析器應(yīng)用程序的利用（當(dāng)用戶在PDF或郵件應(yīng)用中查看圖片時(shí)，無需用戶的點(diǎn)擊或交互，攻擊者就可以悄悄地攻擊目標(biāo)系統(tǒng)。）和WiFi鄰近攻擊（試圖在WiFi堆棧上尋找漏洞，并將漏洞代碼上傳到位于內(nèi)核的用戶空間中，以遠(yuǎn)程接管目標(biāo)系統(tǒng)）

零點(diǎn)擊攻擊通常依賴于軟件制造商所未知的零日攻擊。Lakhani表示，正是因?yàn)椴恢浪鼈兊拇嬖冢灾圃焐掏ǔo法發(fā)布補(bǔ)丁來修復(fù)它們，這樣就使得用戶處于危險(xiǎn)之中。并且，即使是那些非常警惕的用戶也同樣無法避免零日和零點(diǎn)擊的雙重攻擊。”

此類攻擊通常針對于那些高價(jià)值的目標(biāo)，它們具有很高的攻擊價(jià)值。Palo Alto Networks的第42單元的威脅情報(bào)副總裁，Ryan Olson表示，在開放市場上購買漏洞的Zerodium，為針對安卓系統(tǒng)的零點(diǎn)擊漏洞花費(fèi)了高達(dá)250萬美元。

零點(diǎn)擊攻擊的例子

零點(diǎn)擊攻擊的目標(biāo)可以是任何東西，從智能手機(jī)到臺式電腦，甚至是物聯(lián)網(wǎng)設(shè)備。此類攻擊最早被定義于2010年，安全研究員 Chris Paget在第18屆DEFCON黑客大會上演示了如何利用全球移動通信系統(tǒng)(GSM)的漏洞攔截電話和短信，并解釋GSM協(xié)議已被設(shè)計(jì)破壞。

另一個早期的零點(diǎn)擊漏洞是在2015年發(fā)現(xiàn)的，當(dāng)時(shí)安卓惡意軟件家族Shedun利用安卓無障礙服務(wù)的合法功能，在用戶無任何舉動的情況下，來安裝廣告軟件。通過獲得使用可訪問性服務(wù)的權(quán)限，Shedun能夠讀取到受害者屏幕上出現(xiàn)的文本、確定是否顯示了應(yīng)用程序安裝提示、滾動權(quán)限列表，以及最后的按下安裝按鈕，而在此過程中，用戶無需進(jìn)行任何的物理交互。

一年后，也就是2016年，事情變得更加復(fù)雜。阿拉伯聯(lián)合酋長國的監(jiān)視工具Karma進(jìn)行了一次零點(diǎn)擊攻擊，它利用了iMessage中發(fā)現(xiàn)的零日漏洞。Karma只需要提供用戶的電話號碼或電子郵件地址。隨后，短信就被發(fā)送給了受害者，受害者甚至不必點(diǎn)擊鏈接就會被感染。

一旦蘋果手機(jī)接收到短信，攻擊者就可以竊取到照片、電子郵件和位置數(shù)據(jù)等信息。使用此類工具的黑客組織被稱為“ Project Raven”，其中包括幫助阿拉伯聯(lián)合酋長國來監(jiān)控政府和人權(quán)活動積極分子的美國情報(bào)黑客。

到了2020，隨著監(jiān)控公司以及民族國家行為者開始開發(fā)無需用戶采取任何操作的工具，零點(diǎn)擊攻擊也受到了越來越高的關(guān)注，Amnesty International的技術(shù)專家 Etienne Maynier表示：我們以往關(guān)注的通過SMS鏈接進(jìn)行的攻擊，如今變成了通過網(wǎng)絡(luò)注射的零點(diǎn)擊攻擊。

Amnesty 和the Citizen Lab實(shí)驗(yàn)室參與了幾起與NSO集團(tuán)的  Pegasus間諜軟件相關(guān)的案件。這些案件與幾起謀殺案有關(guān)，其中包括《華盛頓郵報(bào)》記者Jamal Khashoggi謀殺案。一旦被安裝在手機(jī)上， Pegasus就可以竊取短信、跟蹤電話、監(jiān)控受害者的位置、訪問設(shè)備的麥克風(fēng)和攝像頭、 竊取密碼，以及從應(yīng)用程序中收集信息

Khashoggi與他的親信并不是唯一的受害者。2019年，WhatsApp的一個漏洞被利用來攻擊加泰羅尼亞的公民社會和政治人物。攻擊者首先在WhatsApp上與受害者進(jìn)行視頻通話。此過程無需受害者的接聽，因?yàn)榘l(fā)送到聊天應(yīng)用程序上的數(shù)據(jù)并沒有被有效殺毒。這使得Pegasus代碼可以在目標(biāo)設(shè)備上運(yùn)行，并成功安裝間諜軟件。目前WhatsApp已經(jīng)修補(bǔ)了該漏洞，并通知了1400名目標(biāo)用戶。

另一個與NSO集團(tuán)的Pegasus相關(guān)的零點(diǎn)擊攻擊是基于蘋果公司的iMessage中的一個漏洞。2021年，Citizen Lab實(shí)驗(yàn)室發(fā)現(xiàn)了一個被用于針對一名沙特活動人士的漏洞痕跡。這種攻擊依賴于在iMessage中解析gif的錯誤，并將包含惡意代碼的PDF文檔偽裝為GIF。谷歌的Project Zero在對該漏洞的分析中表示：最值得關(guān)注的是，從一個相當(dāng)受限的沙箱中可以到達(dá)攻擊面的深度。

零點(diǎn)擊攻擊并不僅僅局限于手機(jī)。曾有一個零點(diǎn)擊漏洞被利用，未經(jīng)驗(yàn)證的攻擊者可以完全控制 Hikvision的安全攝像頭。同年，微軟的一個漏洞被發(fā)現(xiàn)也是可以被攻擊者利用的，通過該漏洞，黑客可以通過主要的操作系統(tǒng)（Windows, MacOS, Linux）來訪問目標(biāo)設(shè)備。

如何檢測與緩解零點(diǎn)擊攻擊

Maynier表示，實(shí)際上，準(zhǔn)確判斷受害者是否被感染是相當(dāng)困難的，并且防止零點(diǎn)擊攻擊也幾乎是不可能的。零點(diǎn)擊攻擊比我們想象中要常見得多。他建議潛在的攻擊目標(biāo)應(yīng)對自己的所有數(shù)據(jù)進(jìn)行加密，定時(shí)更新設(shè)備，設(shè)置復(fù)雜的密碼，并盡一切努力保護(hù)自己的數(shù)字資產(chǎn)。同時(shí)Maynier也告誡他們要預(yù)測可能會受到的攻擊，并及時(shí)地做出應(yīng)對。

盡管如此，用戶還是可以通過一定的努力來盡量降低被監(jiān)視的風(fēng)險(xiǎn)。其中最簡單的方法是：定期重啟蘋果手機(jī)。Amnesty 的專家表示，這可以在一定程度上阻止 Pegasus代碼在ios系統(tǒng)上的活動——至少是暫時(shí)的。這樣做的優(yōu)點(diǎn)是可以禁用任何運(yùn)行中的沒有實(shí)現(xiàn)持久性的代碼。而缺點(diǎn)是，重新啟動設(shè)備可能會消除感染發(fā)生的跡象，使安全研究人員更難判斷設(shè)備是否被 Pegasus所盯上。

同時(shí)，用戶還應(yīng)該避免對他們的設(shè)備進(jìn)行“越獄”，因?yàn)椤霸姜z”行為刪除了固件中內(nèi)置的一些安全控件。除此之外，由于他們可以在越獄的設(shè)備上安裝未經(jīng)驗(yàn)證的軟件，所以這也增加了安裝漏洞代碼的風(fēng)險(xiǎn)，而這也正是零點(diǎn)擊攻擊的主要目標(biāo)。

同時(shí)，保持良好的安全衛(wèi)生也會對避免零點(diǎn)擊攻擊有所幫助。Lakhani表示，網(wǎng)絡(luò)、應(yīng)用程序以及用戶的分割、多因素認(rèn)證機(jī)制的應(yīng)用、強(qiáng)大的流量監(jiān)控、良好的網(wǎng)絡(luò)安全衛(wèi)生以及先進(jìn)的安全分析也可以在特定情況下降低風(fēng)險(xiǎn)。這些活動也會讓攻擊者的后攻擊活動變得困難，即使它們已經(jīng)對系統(tǒng)造成了威脅。

Maynier補(bǔ)充說：知名度高的目標(biāo)應(yīng)該對數(shù)據(jù)進(jìn)行隔離，并且配置一個僅用于敏感通信的設(shè)備。他建議用戶“在手機(jī)上保留盡可能少的信息”。并且當(dāng)進(jìn)行重要的面談時(shí)，盡量不要將手機(jī)帶入面談環(huán)境中。

Amnesty 和 Citizen Lab實(shí)驗(yàn)室等組織發(fā)布了一些指南，以指導(dǎo)用戶將智能手機(jī)連接到個人電腦上，以檢查手機(jī)是否已經(jīng)感染了 Pegasus。用于此功能的的軟件，移動驗(yàn)證工具包，依賴于已知的淪陷指標(biāo)，如緩存的收藏夾以及短信中出現(xiàn)的 URL。用戶不必通過越獄破解他們的設(shè)備來運(yùn)行此工具。

此外，蘋果和WhatsApp都向那些可能被安裝Pegasus零點(diǎn)擊攻擊的用戶發(fā)送了消息。隨后，其中的一些人聯(lián)系了Citizen Lab實(shí)驗(yàn)室等組織，以求進(jìn)一步分析自己的設(shè)備。

然而， Maynier表示：技術(shù)本身并不能解決問題，這從根本上講是一個政策和制度的問題。Amnesty, EDRi 以及許多其他組織呼吁全球暫停使用、銷售或轉(zhuǎn)讓監(jiān)測技術(shù)，直到建立一個合適的人權(quán)監(jiān)管框架，以保護(hù)人權(quán)捍衛(wèi)者和公民社會免受這些工具的濫用。

他說，政策方面的解決方案必須涵蓋這個問題的不同方面，從出口管制到對公司的強(qiáng)制性人權(quán)盡職調(diào)查。我們需要首先制止這些廣泛存在的濫用行為。

點(diǎn)評

零點(diǎn)擊攻擊的危險(xiǎn)性主要在于即使被攻擊方不進(jìn)行任何交互，攻擊方仍可以通過一定的手段來進(jìn)行對其進(jìn)行攻擊。這使得被攻擊方幾乎完全處于被動地位，既無法對其危險(xiǎn)行為進(jìn)行規(guī)避，亦無法檢測自己是否已陷入被攻擊狀態(tài)。可謂是“殺人于無形”。因此，我們只能從源頭兩端對其進(jìn)行防御，一方面在于對檢測技術(shù)的使用權(quán)以及交易權(quán)進(jìn)行限制，另一方面則需要用戶盡可能地增加訪問其關(guān)鍵信息的難度與復(fù)雜程度。