零点击攻击为什么如此危险

​零点击攻击的定义

与大多数网络攻击不同，零点击攻击不需要与目标用户进行任何交互，比如点击链接、启用宏或启动可执行文件。它们相对较复杂，经常用于网络间谍活动，并且一般很少留下痕迹——这些造就了它们的危险性。

一旦设备失陷，那么攻击者就可以在该设备上安全监视软件，或实施一种更具破坏性的策略——通过对文件加密并截获这些加密文件来换取赎金。一般情况下，受害者无法知晓自己是何时以及如何被零点击攻击的，这也意味着用户无法有效地保护自己。

零点击攻击是如何工作的

随着监控行业的快速发展，零点击攻击也逐渐流行。其中最为流行的间谍软件之一就是NGO集团的 Pegasus，它通常被用来监控记者、积极分子、世界领导人以及公司高管。可以肯定的是，他们之中至少有一些人已经接到了WhatsApp通话，甚至都不需要接听。

通信应用是零点击攻击的常见目标。这是由于它们无需从设备所有者那里采取任何行动，就可以从未知的来源接收大量数据。大多数情况下，攻击者会利用数据处理或验证过程中的漏洞。

Fortinet’s FortiGuard 实验室的研究员 Aamir Lakhani表示，其他一些不太为人所知的零点击攻击类型一直没有受到太多的关注。他举了两个例子：解析器应用程序的利用（当用户在PDF或邮件应用中查看图片时，无需用户的点击或交互，攻击者就可以悄悄地攻击目标系统。）和WiFi邻近攻击（试图在WiFi堆栈上寻找漏洞，并将漏洞代码上传到位于内核的用户空间中，以远程接管目标系统）

零点击攻击通常依赖于软件制造商所未知的零日攻击。Lakhani表示，正是因为不知道它们的存在，所以制造商通常无法发布补丁来修复它们，这样就使得用户处于危险之中。并且，即使是那些非常警惕的用户也同样无法避免零日和零点击的双重攻击。”

此类攻击通常针对于那些高价值的目标，它们具有很高的攻击价值。Palo Alto Networks的第42单元的威胁情报副总裁，Ryan Olson表示，在开放市场上购买漏洞的Zerodium，为针对安卓系统的零点击漏洞花费了高达250万美元。

零点击攻击的例子

零点击攻击的目标可以是任何东西，从智能手机到台式电脑，甚至是物联网设备。此类攻击最早被定义于2010年，安全研究员 Chris Paget在第18届DEFCON黑客大会上演示了如何利用全球移动通信系统(GSM)的漏洞拦截电话和短信，并解释GSM协议已被设计破坏。

另一个早期的零点击漏洞是在2015年发现的，当时安卓恶意软件家族Shedun利用安卓无障碍服务的合法功能，在用户无任何举动的情况下，来安装广告软件。通过获得使用可访问性服务的权限，Shedun能够读取到受害者屏幕上出现的文本、确定是否显示了应用程序安装提示、滚动权限列表，以及最后的按下安装按钮，而在此过程中，用户无需进行任何的物理交互。

一年后，也就是2016年，事情变得更加复杂。阿拉伯联合酋长国的监视工具Karma进行了一次零点击攻击，它利用了iMessage中发现的零日漏洞。Karma只需要提供用户的电话号码或电子邮件地址。随后，短信就被发送给了受害者，受害者甚至不必点击链接就会被感染。

一旦苹果手机接收到短信，攻击者就可以窃取到照片、电子邮件和位置数据等信息。使用此类工具的黑客组织被称为“ Project Raven”，其中包括帮助阿拉伯联合酋长国来监控政府和人权活动积极分子的美国情报黑客。

到了2020，随着监控公司以及民族国家行为者开始开发无需用户采取任何操作的工具，零点击攻击也受到了越来越高的关注，Amnesty International的技术专家 Etienne Maynier表示：我们以往关注的通过SMS链接进行的攻击，如今变成了通过网络注射的零点击攻击。

Amnesty 和the Citizen Lab实验室参与了几起与NSO集团的  Pegasus间谍软件相关的案件。这些案件与几起谋杀案有关，其中包括《华盛顿邮报》记者Jamal Khashoggi谋杀案。一旦被安装在手机上， Pegasus就可以窃取短信、跟踪电话、监控受害者的位置、访问设备的麦克风和摄像头、 窃取密码，以及从应用程序中收集信息

Khashoggi与他的亲信并不是唯一的受害者。2019年，WhatsApp的一个漏洞被利用来攻击加泰罗尼亚的公民社会和政治人物。攻击者首先在WhatsApp上与受害者进行视频通话。此过程无需受害者的接听，因为发送到聊天应用程序上的数据并没有被有效杀毒。这使得Pegasus代码可以在目标设备上运行，并成功安装间谍软件。目前WhatsApp已经修补了该漏洞，并通知了1400名目标用户。

另一个与NSO集团的Pegasus相关的零点击攻击是基于苹果公司的iMessage中的一个漏洞。2021年，Citizen Lab实验室发现了一个被用于针对一名沙特活动人士的漏洞痕迹。这种攻击依赖于在iMessage中解析gif的错误，并将包含恶意代码的PDF文档伪装为GIF。谷歌的Project Zero在对该漏洞的分析中表示：最值得关注的是，从一个相当受限的沙箱中可以到达攻击面的深度。

零点击攻击并不仅仅局限于手机。曾有一个零点击漏洞被利用，未经验证的攻击者可以完全控制 Hikvision的安全摄像头。同年，微软的一个漏洞被发现也是可以被攻击者利用的，通过该漏洞，黑客可以通过主要的操作系统（Windows, MacOS, Linux）来访问目标设备。

如何检测与缓解零点击攻击

Maynier表示，实际上，准确判断受害者是否被感染是相当困难的，并且防止零点击攻击也几乎是不可能的。零点击攻击比我们想象中要常见得多。他建议潜在的攻击目标应对自己的所有数据进行加密，定时更新设备，设置复杂的密码，并尽一切努力保护自己的数字资产。同时Maynier也告诫他们要预测可能会受到的攻击，并及时地做出应对。

尽管如此，用户还是可以通过一定的努力来尽量降低被监视的风险。其中最简单的方法是：定期重启苹果手机。Amnesty 的专家表示，这可以在一定程度上阻止 Pegasus代码在ios系统上的活动——至少是暂时的。这样做的优点是可以禁用任何运行中的没有实现持久性的代码。而缺点是，重新启动设备可能会消除感染发生的迹象，使安全研究人员更难判断设备是否被 Pegasus所盯上。

同时，用户还应该避免对他们的设备进行“越狱”，因为“越狱”行为删除了固件中内置的一些安全控件。除此之外，由于他们可以在越狱的设备上安装未经验证的软件，所以这也增加了安装漏洞代码的风险，而这也正是零点击攻击的主要目标。

同时，保持良好的安全卫生也会对避免零点击攻击有所帮助。Lakhani表示，网络、应用程序以及用户的分割、多因素认证机制的应用、强大的流量监控、良好的网络安全卫生以及先进的安全分析也可以在特定情况下降低风险。这些活动也会让攻击者的后攻击活动变得困难，即使它们已经对系统造成了威胁。

Maynier补充说：知名度高的目标应该对数据进行隔离，并且配置一个仅用于敏感通信的设备。他建议用户“在手机上保留尽可能少的信息”。并且当进行重要的面谈时，尽量不要将手机带入面谈环境中。

Amnesty 和 Citizen Lab实验室等组织发布了一些指南，以指导用户将智能手机连接到个人电脑上，以检查手机是否已经感染了 Pegasus。用于此功能的的软件，移动验证工具包，依赖于已知的沦陷指标，如缓存的收藏夹以及短信中出现的 URL。用户不必通过越狱破解他们的设备来运行此工具。

此外，苹果和WhatsApp都向那些可能被安装Pegasus零点击攻击的用户发送了消息。随后，其中的一些人联系了Citizen Lab实验室等组织，以求进一步分析自己的设备。

然而， Maynier表示：技术本身并不能解决问题，这从根本上讲是一个政策和制度的问题。Amnesty, EDRi 以及许多其他组织呼吁全球暂停使用、销售或转让监测技术，直到建立一个合适的人权监管框架，以保护人权捍卫者和公民社会免受这些工具的滥用。

他说，政策方面的解决方案必须涵盖这个问题的不同方面，从出口管制到对公司的强制性人权尽职调查。我们需要首先制止这些广泛存在的滥用行为。

点评

零点击攻击的危险性主要在于即使被攻击方不进行任何交互，攻击方仍可以通过一定的手段来进行对其进行攻击。这使得被攻击方几乎完全处于被动地位，既无法对其危险行为进行规避，亦无法检测自己是否已陷入被攻击状态。可谓是“杀人于无形”。因此，我们只能从源头两端对其进行防御，一方面在于对检测技术的使用权以及交易权进行限制，另一方面则需要用户尽可能地增加访问其关键信息的难度与复杂程度。