虽然“零日攻击”已经够糟糕了,但它们之所以被命名为零日攻击,是因为开发人员在公开的零点击攻击出现之前,没有多少天时间来处理该漏洞。
零点击攻击已定义
许多常见的网络攻击,如钓鱼,需要用户采取某种行动。在这些方案中,打开电子邮件、下载附件或单击链接允许恶意软件访问您的设备。但是,零点击攻击需要零用户交互才能工作。
这些攻击不需要使用“社会工程”,即坏人用心理战术让你点击他们的恶意软件。相反,他们只是轻快地跳进你的机器。这使得网络攻击者更难追踪,如果他们失败了,他们可以继续尝试,直到他们得到它,因为你不知道你正在被攻击。
零点击漏洞一直受到国家层面的高度重视。像Zerodium这样在黑市上买卖漏洞的公司向任何能找到漏洞的人提供数百万美元。
任何解析接收到的数据以确定该数据是否可信的系统都容易受到零点击攻击。正因为如此,电子邮件和消息应用程序才成为如此吸引人的目标。此外,苹果的iMessage等应用程序中存在的端到端加密使得很难知道是否正在发送零点击攻击,因为除了发送方和接收方,任何人都看不到数据包的内容。
这些攻击通常也不会留下太多痕迹。例如,零点击电子邮件攻击可能会在删除自己之前复制电子邮件收件箱的全部内容。应用程序越复杂,零点击漏洞利用的空间就越大。
相关:如果收到网络钓鱼电子邮件,你应该怎么做?
野外零点击攻击
9月,Citizen Lab发现了一个零点击漏洞,该漏洞允许攻击者使用设计为自动执行代码的PDF在目标手机上安装Pegasus恶意软件。该恶意软件有效地将任何感染它的智能手机变成了监听设备。此后,苹果公司开发了一个漏洞修补程序。
今年4月,网络安全公司ZecOps发布了一份关于他们在苹果邮件应用程序中发现的几起零点击攻击的书面报告。网络攻击者向Mail用户发送精心编制的电子邮件,允许他们以零用户操作访问设备。尽管ZecOps报告称,他们不认为这些特定的安全风险会对苹果用户构成威胁,但此类攻击可能会被用来创建一系列漏洞,最终让网络攻击者控制。
2019年,攻击者利用WhatsApp中的一个漏洞在人们的手机上安装间谍软件,只需拨打电话即可。自那以后,Facebook起诉了被认为负有责任的间谍软件供应商,声称其使用该间谍软件瞄准政治异议人士和激进分子。
如何保护自己
不幸的是,由于这些攻击很难检测到,并且不需要用户执行任何操作,因此很难防范。但是,良好的数字卫生仍然可以让你少成为目标。
经常更新您的设备和应用程序,包括您使用的浏览器。这些更新通常包含一些补丁,如果您不安装这些补丁,坏人可能会利用这些补丁来攻击您。例如,WannaCry勒索软件攻击的许多受害者本可以通过简单的更新来避免他们。我们有更新iPhone和iPad应用程序、更新Mac及其安装的应用程序以及更新Android设备的指南。
获取一个好的反间谍软件和反恶意软件程序,并定期使用它们。如果可以,在公共场所使用VPN,不要在不受信任的公共连接上输入银行数据等敏感信息。
应用程序开发人员可以在向公众发布产品之前,通过严格测试其产品的漏洞利用率来帮助他们。聘请专业的网络安全专家并为漏洞修复提供奖励,可以大大提高安全性。
你应该为此失眠吗?可能不会。零点击攻击主要针对高调的间谍和金融目标。只要你采取一切可能的措施保护自己,你就应该做得好。
相关:基本计算机安全:如何保护自己免受病毒、黑客和小偷的侵害
