【2025年05月20日訊】(記者Chris Summers撰文/張紫珺編譯)在2025年的今天,大多數人都已經離不開筆記本電腦和智能手機。由於對電子通訊技術的不斷熟悉,對於未經請求的電子郵件、短信或WhatsApp消息,人們已經非常戒備,不會輕易點擊。
然而值得警惕的是,現在手機用戶正面臨一種新的威脅:「零點擊」(zero-click)攻擊。在以往,由於成本和複雜性比較高,這種攻擊只針對知名人士或者非常富有的人群。但是現在這種黑客攻擊範圍正在不斷擴大,普通用戶也可能遭殃。
「零點擊」攻擊是一種無需用戶點擊任何操作即可入侵目標設備的網絡攻擊。用戶只需接收一條信息、接聽一個電話或接收一個文件,黑客就能入侵設備。入侵之後,攻擊者利用應用程序或系統中隱藏的漏洞對設備進行控制,用戶什麼都不用做,也不會察覺到自己已經受到攻擊。
英國網絡安全培訓平台StationX的首席執行官內森·豪斯(Nathan House)告訴《大紀元時報》:「雖然公眾的防範意識最近有所提高,但是多年以來,這種類型的攻擊一直在穩步發展,隨著智能手機和互聯網設備的大量增加而變得越來越頻繁。」
「這類攻擊瞄準的關鍵漏洞在於設備上的軟件,而不是設備的類型。這就意味著,互聯網上任何存在可以被利用的漏洞的設備都有可能成為攻擊目標。」他說道。
專注於網絡安全的出版物《網絡新聞》(Cybernews)的信息安全研究員阿拉斯·納扎羅瓦斯(Aras Nazarovas)接受《大紀元時報》採訪時向我們解釋,為什麼「零點擊」攻擊的目標通常是知名人士而不是普通人。
「要想找到這種零點擊漏洞難度很大,成本也很高,所以在大多數情況下,這種漏洞被用來獲取關鍵人物的信息,例如專制政權利用這種技術來監控政治人物或新聞記者等。」他說道。
「它們經常被用於有針對性的活動。而利用此類漏洞來竊取錢財的情況很少見。」他補充道。
2024年6月,英國廣播公司(BBC)報導稱,社交媒體平台TikTok(中國「抖音」的海外版)承認,該平台上包括美國媒體CNN在內的「非常有限的」帳戶已經被入侵。
雖然TikTok的母公司「字節跳動」(ByteDance)沒有證實黑客攻擊的性質,但是總部位於俄羅斯莫斯科的卡巴斯基(Kaspersky)和總部位於英國的「可靠情報」(Assured Intelligence)等國際網絡安全公司認為,這次的黑客攻擊與「零點擊」漏洞有關。
納扎羅瓦斯說:「實施零點擊攻擊最複雜的部分是,找到允許攻擊的漏洞,並針對這些漏洞編寫專門的漏洞利用(exploit)程序。」
「一直以來,銷售『零點擊』漏洞利用程序和漏洞利用鏈程序的市場規模已達到數十億美元。一些灰色/暗網市場的漏洞利用程序經紀人經常出價50萬至100萬美元,購買可用於流行設備和應用程序的漏洞利用程序鏈。」他介紹道。
納扎羅瓦斯補充說,雖然在過去,普通用戶也受到過「零點擊」路過式攻擊。這些攻擊是無意中將惡意軟件安裝到設備上之後才出現的,通常用戶甚至沒有意識到這一點。現在隨著這類漏洞攻擊程序的灰色市場不斷擴大,這種攻擊已越來越少。
豪斯認為,「零點擊」漏洞利用程序通常會尋找軟件和應用程序中的漏洞,而發現這些漏洞的成本非常高。這就意味著,作案者通常是「民族國家行為者或者是資金雄厚的集團」。
間諜軟件市場不斷擴大
雖然最近人工智能的創新使某些網絡犯罪(如語音克隆或網絡釣魚)變得更加普遍,但是納扎羅瓦斯表示,目前還沒有證據表明,人工智能增加了「零點擊」攻擊的風險。
豪斯指出,不法分子可以利用人工智能,「為那些原本沒有時間、經驗或知識來發現和編寫此類漏洞利用程序的人編寫『零點擊』漏洞利用程序。」
但他認為,近年來「零點擊」攻擊的增加,「主要是由於間諜軟件市場的擴大以及更多複雜漏洞的出現,而不是直接源於人工智能驅動的技術。」
他強調,「零點擊」攻擊已經存在了十多年,其中最臭名昭著的是飛馬(Pegasus)間諜軟件事件。
2021年7月,英國《衛報》(The Guardian)和其它16家媒體發表了一系列文章,指控外國政府利用總部位於以色列的NSO集團的飛馬軟件對全球至少180名記者和其他眾多目標人士進行了監控。
據稱飛馬監控的目標包括法國總統埃馬紐埃爾·馬克龍(Emmanuel Macron)、印度反對黨領袖拉胡爾·甘地(Rahul Gandhi),以及2018年10月2日在土耳其伊斯坦布爾遇害的《華盛頓郵報》(The Washington Post)記者賈邁勒·卡舒吉(Jamal Khashoggi)等。
對此,在當時的一份聲明中,NSO集團表示:「正如NSO此前聲明的那樣,我們的技術與賈邁勒·卡舒吉(Jamal Khashoggi)令人髮指的謀殺案沒有任何關聯。」
而在今年5月6日,在一宗WhatsApp起訴NSO集團的隱私案中,加州陪審團裁定WhatsApp母公司Meta獲得444,719美元的補償性賠償和1.673億美元的懲罰性賠償。
WhatsApp的控訴主要針對飛馬間諜軟件。訴訟稱,開發該間諜軟件的目的是「在使用安卓(Android)、蘋果iOS和黑莓(BlackBerry)操作系統的移動設備上,遠程安裝並遠程訪問和控制設備上包括通話、信息和地理位置等信息。」
「附帶的攻擊目標」
納扎羅瓦斯說:「雖然普通用戶偶爾也會成為附帶的攻擊目標,但是攻擊者通常會把這些代價高昂的漏洞利用攻擊留給那些擁有特別有價值信息或特別敏感信息的重要人物。」
他透露,公司向黑客提供「漏洞賞金」,以激勵他們發現這些漏洞並向公司報告,而不是將漏洞賣給中間商,中間商再將漏洞賣給非法使用漏洞的人。
豪斯認為,要抵禦零點擊攻擊「具有挑戰性」,但是採取一些簡單的網絡安全步驟可以把風險降低。
他建議:「用戶應及時更新軟件和操作系統,定期重啟設備,並使用蘋果公司的鎖定模式等加固安全模式,尤其是當他們認為自己是高風險目標的時候。」
豪斯認為無論採取怎樣的預防措施,關鍵是要認識到,「異常複雜的攻擊(例如來自掌握先進技術的民族國家對手的攻擊)甚至可以繞過最強大的防禦。」
納扎羅瓦斯說,為了應對漏洞利用,蘋果(Apple)、谷歌(Google)和微軟(Microsoft)等許多大型科技公司從數十億台設備中收集大量遙測數據,並利用這些數據檢測零點擊漏洞和其它複雜的攻擊。遙測數據是從手機和電腦等設備上遠程收集的信息。這些數據,尤其是有關應用程序使用和行為的數據,會被傳送回中央系統,用於幫助提高系統性能、修復問題或跟蹤活動等。
「當科技公司發現存在允許此類攻擊漏洞的時候,可以迅速進行修復,並通過自動更新,幾乎在第一時間讓數十億用戶進行同步修復。」納扎羅瓦斯說道。
原文:How Hackers Can Control Your Phone Without You Clicking on a Link刊登於英文《大紀元時報》。
