全新 Zero-click 攻擊宛如「鬼入侵」!不需使用者點擊連結就能駭入 iPhone

作者 | 發布日期 2021 年 10 月 28 日 8:45 | 分類 Apple , iOS , iPhone Telegram share ! follow us in feedly


長期報導中東事件問題的紐約記者 Ben Hubbard 在自家幕後《Time Insider》專欄自爆,自己 iPhone 手機 2018~2021 年間 4 次遭 Pegasus 飛馬間諜軟體攻擊,尤以後兩次攻擊最可怕,因駭客採用前所未有的「免點擊」(Zero-click)攻擊,使用者只要接收惡意簡訊,即使沒有點擊任何惡意連結,手機照樣被駭。這宛如「鬼入侵」的情節,不但打破 iPhone 堅不可破的神話,也完全顛覆資安三觀。 

不需點擊連結、沒有任何跡象,iPhone 就被駭

雖然駭客攻擊 Hubbard 的 4 次皆用 Pegasus 間諜軟體,還是顯示攻擊技術日新月異。除了第二次攻擊透過 WhatsApp 發送惡意連結,其餘三次都透過 iMessage 發送內含惡意連結的簡訊。雖然前兩次攻擊都沒有得逞,但 2020 及 2021 年兩次就不一樣了,駭客透過 Pegasus 間諜軟體啟動「Zero-click」全新攻擊手法,即使 Hubbard 沒有點擊惡意連結,他的 iPhone 手機仍遭入侵。

「Zero-click」最可怕的地方就是,攻擊者完全不需與使用者互動就能成功駭進手機。對使用者來說,手機沒有任何跡象就被駭了,且間諜軟體研究機構 Citizen Lab 表示,駭客一旦成功入侵手機,會嘗試將首次入侵痕跡移除。研究人員最終仍能找到攻擊者入侵跡象,但說不準駭客到底檢視手機多久,和偷走了什麼。

既然駭客都已入侵手機,所以簡訊、照片、密碼等任何內容都有可能被竊。不僅如此,駭客也能遠端啟動 iPhone 麥克風與攝影機監聽受害者,如果你是政要、明星或記者,很有可能被駭客監聽一切。

Zero-click 攻擊手法加持,讓 Pegasus 間諜軟體長驅直入 iPhone

破解並入侵手機已成為許多安全公司最有利可圖的業務,因許多政府與執法機構意欲監聽特定目標的需求高漲。長久致力隱私與安全的蘋果手機,一直是駭客最想破解的終極目標,這也是何以 Pegasus 間諜軟體(以色列軟體公司 NSO Group 開發)大受歡迎,成為駭入 iPhone 手機的必備利器。

隨著「Zero-click」攻擊手法出現,讓 iPhone 使用族群人心惶惶。雖然仍沒有防範「Zero-click」攻擊的特效藥,但 Hubbard 也分享自我保護之道。除了定期更新 iOS 系統,使用者最好盡可能限制重要資料不留在手機,例如敏感訊息或重要聯絡人等。再者,他會透過 Signal 通訊軟體與人溝通,因開源 Signal 會對所有通訊內容採點對點加密,遠比時下其他通訊軟體更安全。使用者最好三不五時重新啟動 iPhone,才可將常駐系統的間諜軟體暫時踢掉。

(首圖來源:蘋果