有些人認為只要不點擊危險連結、打開可疑檔案或從不可靠來源安裝程式,就無需擔心惡意程式的感染,無疑上述三種方法是大大減低風險,但仍然有無需點擊(zero-click)無用用戶任何動作的攻擊需要注意。
Operation Triangulation的間諜活動
在不久之前Kaspersky的員工被不明組織利用零點擊的方式攻擊,發現後於是命名為「Operation Triangulation」,通過Apple iMessage的服務,攻擊者把特別含有安全漏洞的附件發送訊息到受害者的iPhone,讓漏洞讓無需用戶輸入或解發啟動惡意編碼,就能連線到C&C伺服器然後下載額外的惡意內容,第一步是取得特權然後就是啟動功能全面的APT平台。要繞過iPhone內部保安機制,平台只在裝置的RAM運作,並容許攻擊者收集用戶的資料,然後從伺服器進行額外的plugin下載。
幸好Apple迅速修復該安全漏洞,不過這次並非首次iMessage的漏洞被利用,不被察覺的情況下感染惡意程式的個案,由於攻擊者也十分積極地研究這台受歡迎的裝置,所以難保未來找到新的類似方法展開攻擊。
Predator間諜程式和Safari零點擊安全漏洞
Apple近日為iOS、macOS和部份其他軟件產品推出了重要更新,修復了幾個嚴重漏洞,其中一個存在於WebKit(Apple Safari瀏覽器上的引擎)的安全漏洞被Intellexa透過Predator間諜程式所利用。在受害者進入未加密網站(HTTP而非HTTPS)後攻擊者會先稍候片刻,然後便進行「中間人」(man-in-the-middle)攻擊重新導引受害者到受感染的網站,然後透過上述的安全漏洞在受害者的iPhone上,執行任意代碼而無需受害者採取任何行動,並透過其他漏洞安裝間諜程式到被感染的iPhone。
研究人員也發現Predator的製作者有類似的攻勢可以感染Android智能手機,在這情況下無點擊攻擊是在Chrome瀏覽器上發生。其實在今年初也發生過類似情況,兩款瀏覽器容許建立惡意網頁,結果感染瀏覽的智能手機或電腦用戶,同樣無需受害者採取任何行動。
防範無點擊攻擊
由於無點擊的攻擊並不需要用戶採取任何行動,所以傳統的方法並不十分有效,但仍有一些事項能有助防護自己的裝置:
- 保持軟件更新到最新版本,尤其操作系統和所有已安裝的瀏覽器。
- 如果有任何原因懷疑涉及高級商用間諜程式(例如NSO Pegasus),請參考較早前的建議。
- iPhone用戶可以利用Lockdown Mode,能有助防護嚴重的攻擊,不過也並非萬能藥。
- 在所有公司裝置上安裝可靠的保安方案,能在安全漏洞攻擊出現在補丁方案面世前的階段提供保護。
- 雖然iOS上無法安裝完整的防毒方案,但可循攔截危險網頁的方向出法,堵塞通過瀏覽器利用安全漏洞的情況。
資料來源:Kaspersky Blog
