您需要保护自己免受零点击攻击

最新的苹果漏洞兼具零点击攻击和零日漏洞的特点。以下是您需要了解的内容。

作者:希拉·费德

更新于

建议很简单:在您的设备上运行最新软件。图片来源:Unsplash 上的 Youssef Sarhan

在跟踪数字威胁多年的网络安全监管机构 Citizen Lab 检查了一名沙特活动家手机的内容后,研究人员迅速发现该手机已被感染。但该手机感染的并非普通病毒。它感染的是 NSO Group 的零点击 Pegasus 间谍软件——一种无需用户点击链接即可进行感染的软件。

自称数据泄露猎人的 Chris Vickery 表示,在使用 Pegasus 时,在安装修复补丁之前,“您绝对无能为力来保护您的手机。”“这是噩梦级别的可怕。”保持软件更新是保护自己的最简单方法,因为公司在发现新漏洞后会通过这种方式发布修复补丁。

以下是关于零点击软件和 Pegasus 的知识。

像 Pegasus 这样的漏洞为何如此可怕?

Pegasus 是一个名为 NSO Group 的以色列公司创建和销售的软件漏洞产品名称,而“FORCEDENTRY”是该漏洞更具体的名称。与您可能在电影中看到的病毒不同,这种病毒不会传播。它针对的是单个电话号码或设备,因为它是由一家营利性公司销售的,该公司没有动机让病毒轻易传播。Pegasus 的不那么复杂的版本可能需要用户做一些事情来破坏他们的设备,例如点击来自未知号码的链接。

过去,曾收到过声称“您的孩子出了车祸”或“有人刚使用了您的信用卡”的短信——这些都是网络钓鱼尝试。一旦点击了链接,Pegasus 软件就会被注入手机,从而将手机的完全控制权交给攻击者。

[相关:为什么您需要尽快更新您的 Apple 产品软件]

但您可能永远都不会知道自己已被盯上。Vickery 说:“为了进行调查,您需要尽可能保持安静,所以黑客可能不会在手机上做一些明显的事情来显示他们的存在。”

什么是零点击漏洞?

Pegasus 的最先进版本涉及零点击漏洞。它不需要任何人工交互即可感染手机。Vickery 说:“这就像从远处射来的子弹击中您的头部。您根本无法防御。”黑客可以将漏洞载荷发送到您的手机。在 Citizen Lab 发现的案例中,Pegasus 是通过损坏的 gif 文件发送的。

该漏洞隐藏在处理图像的 iPhone 软件中。这就是为什么苹果发布了紧急修复程序并敦促所有人更新设备的原因。

什么是零日攻击?

零日攻击、零日漏洞和零日漏洞利用都是指同一件事:软件中存在制造商尚未发布修复补丁的漏洞。Vickery 说:“由于没有时间让防御措施跟上攻击者的步伐,因此它就成了一个零日漏洞。一旦有人发布了补丁,第二天,它就可以被认为是‘一日漏洞’,意味着它有了一天的潜在修复时间。”

如果您是黑客,您会希望这个零日持续尽可能长的时间,以便将来可以利用它。地下流传着许多零日漏洞利用,它们专门避免让受害者知道,以便让它保持更长时间的零日状态。一些黑客可能会发现这些零日漏洞并报告给公司以获取奖励,但军事情报机构等机构会囤积零日漏洞知识,因为它可以非常有效地渗透目标网络。2013 年,美国国家安全局花费了 2500 万美元购买软件漏洞,2020 年,美国国家安全局公布了一份他们发现中国资助的网络行动者正在利用的 25 个漏洞清单。

但这个过程变得像猫鼠游戏,因为一旦您使用它,您就有可能让对手了解到您是如何利用它的。“了解如何做到这一点对我们国家有利,而告知制造商以便他们保护所有人,这之间存在一个灰色地带,”Vickery 说。

NSO Group 是谁?

NSO 是一家以色列的雇佣黑客组织,已运营多年。他们向阿拉伯联合酋长国沙特阿拉伯等国提供 Pegasus 等软件。该组织声称其软件协助抓捕了 El Chapo,一起诉讼被谋杀记者 Jamal Khashoggi 的案件与沙特使用该软件联系起来。一份报告指出,NSO 曾试图向美国当地警方推销其软件。

NSO Group 表示,他们为世界各国政府提供此软件服务,以帮助打击恐怖主义和犯罪。“NSO Group 表示,他们的间谍软件仅用于针对罪犯和恐怖分子,”Citizen Lab 的高级研究员 John Scott-Railton 在 Twitter 上写道。“但我们又一次……他们的漏洞被我们发现,因为它们被用于针对一名活动家。”

Facebook 旗下的 WhatsApp 目前正在起诉 NSO Group,指控该公司提供的软件允许他人监视记者和政治异见者。

Vickery 说:“该公司声称,他们所做的只是提供用于利用的软件。这有点像枪支制造商说他们卖枪,但不是他们用枪瞄准某人的头并扣动扳机。”

您如何知道自己是否已被盯上?

要找出您的手机是否被感染通常非常困难。这类漏洞会悄无声息地发生,受限于部署它的人想要承担的风险。而且由于黑客能够控制手机上的所有进程,他们可以删除最初感染设备的文本或链接,从而防止通知出现。(然而,正如一位安全专家本周早些时候告诉 PopSci 的那样,“这些攻击对大多数 Apple 用户来说并非威胁。”)

如果您的手机日志中与某个域名或 IP 地址有联系,这表明您的手机已被破坏——这是 Pegasus 在工作,因为它正在联系命令与控制服务器,但只有像 Citizen Lab 这样的机构才拥有发现它的资源。

一旦您的设备被感染,就没有办法保护自己了。专家表示,一种减轻受损设备可能带来的损害的方法是,如果您的职业涉及敏感信息,请维护两部独立的手机,一部用于工作,一部用于私人使用。

普通人能做的最重要的事情就是保持软件更新,因为软件更新通常包含安全漏洞的补丁。并仔细检查您收到的消息中的电话号码和电子邮件,以确保它们来自您信任的人。

本文已更新。

 

更多优惠、评测和购买指南

查看更多装备
 
Shira Feder Avatar

Shira Feder

科技领域特约撰稿人

Shira Feder 报道科技、科学和健康领域。她拥有克雷格·纽马克新闻学研究生院的硕士学位,并曾为《华盛顿邮报》、《Vox》、《The Daily Beast》、《Business Insider》等出版物撰稿。

© .