零点击攻击利用软件中的漏洞在没有用户交互的情况下执行攻击。通过利用此漏洞,该漏洞可以在用户设备上安装恶意软件或执行其他恶意交互,而无需目标单击链接、打开恶意文件或执行任何其他操作。
它是如何工作的?
大多数远程利用设备的方法都使用网络钓鱼或其他社会工程策略来诱骗用户单击恶意链接或打开受感染的文件。此操作运行恶意代码,使恶意软件能够安装在设备上。
零点击漏洞被设计为无需用户交互即可工作,这意味着它需要自行实现代码执行。大多数零点击攻击旨在利用接受和处理不受信任数据的应用程序中的漏洞。常见示例包括 SMS 和其他消息传递平台、电子邮件应用程序和电话应用程序。
这些应用程序接受来自不受信任来源的数据并在将其呈现给用户之前对其进行处理。如果此数据处理代码包含未修补的漏洞,则精心制作的消息可能会利用此漏洞,允许恶意消息或电话在设备上运行恶意代码。
接收电子邮件、接收 SMS 和类似操作不需要用户交互;在用户决定打开和阅读之前,智能手机会根据 SMS 或其他消息的内容显示通知。精心设计的恶意消息可以安装恶意软件、删除自身并抑制通知,使用户不知道攻击已发生。
威胁
零点击攻击因其微妙和高成功率而对智能手机和其他设备的安全构成重大威胁。传统漏洞利用需要诱使用户点击恶意链接或文件,从而为目标提供检测和响应威胁的机会。零点击漏洞可能会隐形感染设备或仅触发来自未知号码的未接来电通知。
零点击攻击是所有网络威胁参与者高度评价的漏洞,包括高级持续威胁 (APT) 和民族国家。它们通常用于向政府或其他团体提供秘密收集有关人员信息的间谍软件。
零点击漏洞的类型
智能手机是最常见和广为人知的零点击攻击目标。这些设备使用各种通信应用程序,包括短信、电话、消息传递和社交媒体应用程序。这为寻找可利用漏洞的攻击者提供了广泛的攻击面。
某些团体以识别和武器化零点击漏洞而闻名。例如,NSO Group 已经识别并创建了针对 iPhone 和 Android 设备以及在其上运行的应用程序中的几个零点击漏洞的漏洞利用。这些漏洞被用来传播公司的 Pegasus 间谍软件,该间谍软件出售给政府,用于执法、情报收集,在许多情况下,还用于监控记者、活动家和其他相关人员。
虽然 NSO 集团是最知名的利用零点击漏洞的间谍软件供应商,但它并不是唯一拥有此能力的集团。该公司有直接竞争对手,其他网络威胁参与者也有能力检测和武器化这些漏洞。
如何保护自己免受零点击攻击
零点击攻击的全部目的是逃避用户的检测。由于不需要用户交互,因此目标没有机会识别威胁并拒绝上当。但是,这并不意味着无法防御这些攻击。减轻零点击攻击的威胁需要主动的预防措施,而不是响应正在进行的攻击,例如:
更新应用程序和设备:零点击漏洞利用设备操作系统和应用程序中未修补的漏洞。使设备和应用程序保持最新可以减少设备对这些攻击的脆弱性。
安装反间谍软件和反恶意软件解决方案:零点击漏洞通常用于将间谍软件和其他恶意软件部署到设备。使用可以检测和修复这些感染的反间谍软件和反恶意软件解决方案可以减轻成功的零点击攻击的影响。
避免不安全的应用程序:从第三方应用商店下载或侧载到设备上的应用程序更有可能包含可利用的漏洞。只有从受信任的应用商店安装信誉良好的应用才能最大限度地减少可利用性。