沒點擊就遇駭 專家教防禦

現代人的工作離不開電腦與手機，但這些工具也成為駭客的攻擊目標。手機用戶正面臨一種新的威脅：「零點擊」（zero-click）攻擊。

過去這種攻擊的成本和複雜性比較高，通常只針對知名人士或者非常富有的人群；但現在這種攻擊的範圍正在擴大，普通用戶也可能遭殃。

「零點擊」攻擊是指不需要用戶點擊操作，駭客即可入侵目標設備的網路攻擊。用戶只要接收一則訊息、接聽一個電話或接收一個文件，駭客就能入侵設備。入侵之後，攻擊者利用應用程式或系統中隱藏的漏洞來控制設備。因為用戶什麼也沒做，也不會察覺到設備遭入侵。

英國網路安全培訓平台StationX的執行長豪斯（Nathan House）告訴《大紀元時報》：「雖然民眾的防範意識最近提高了，但是多年以來這種類型的攻擊一直在穩步發展，隨著智慧手機和網路設備的大量增加而變得越來越頻繁。這類攻擊瞄準的關鍵漏洞在於設備上的軟體，而不是設備的類型。這就意味著，網路上任何有可以被利用漏洞的設備，都有可能成為攻擊目標。」

「零點擊」攻擊的目標通常是知名人士而不是普通人。網路安全媒體「網路新聞」（Cybernews）的資訊安全研究員納扎羅瓦斯（Aras Nazarovas）接受《大紀元時報》採訪時表示，「要想找到這種零點擊漏洞難度很大，成本也很高，所以在大多數情況下，這種漏洞被用來獲取關鍵人物的資訊，例如專制政權利用這種技術來監控政治人物或新聞記者等有針對性的活動。而利用此類漏洞來竊取錢財的情況很少見。」

少數TikTok帳戶或被入侵

2024年6月，英國廣播公司（BBC）報導，社群媒體平台TikTok承認，該平台上包括美國媒體CNN在內、「非常有限的」帳戶已經被入侵。

雖然TikTok的母公司「字節跳動」（ByteDance）沒有證實駭客攻擊的性質，但是俄國公司卡巴斯基（Kaspersky）和英國的「可靠情報」（Assured Intelligence）等國際網路安全公司認為，這次的駭客攻擊與「零點擊」漏洞有關。

納扎羅瓦斯說：「實施零點擊攻擊最複雜的部分是找到允許攻擊的漏洞，並針對這些漏洞編寫專門的漏洞利用（exploit）程式。」

「一直以來，銷售『零點擊』漏洞利用程式和漏洞利用鏈的市場規模已達到十億美元。一些灰色或暗網市場的漏洞利用程式經紀人，經常出價50萬至100萬美元，購買可用於流行設備和應用程式的漏洞利用鏈。」

納扎羅瓦斯補充，雖然在過去普通用戶也受到過非針對性的「零點擊」攻擊，即無意中將惡意軟體安裝到設備上，通常用戶甚至沒有意識到這一點，現在隨著這類漏洞攻擊程式的灰色市場不斷擴大，這種非針對性的攻擊已越來越少。

豪斯認為，「零點擊」漏洞利用程式通常會尋找軟體和應用程式中的漏洞，而發現這些漏洞的成本非常高。這就意味著作案者通常是「國家行為者或者是資金雄厚的集團」。

人工智慧暫未助長風險

雖然最近人工智慧的創新使某些網路犯罪（如語音複製或網路釣魚）變得更加普遍，但是納扎羅瓦斯表示，目前還沒有證據表明人工智慧增加了「零點擊」攻擊的風險。

豪斯指出，不法分子可以利用人工智慧「為那些原本沒有時間、經驗或知識來發現和編寫此類漏洞利用程式的人編寫『零點擊』漏洞利用程式。」

但他認為，近年來「零點擊」攻擊的增加，「主要是由於間諜軟體市場的擴大及更多複雜漏洞的出現，而不是直接源於人工智慧驅動的技術。」

他強調，「零點擊」攻擊已經存在了十多年，最臭名昭著的是飛馬（Pegasus）間諜軟體事件。

監控案例：飛馬間諜軟體

2021年7月，英國《衛報》（The Guardian）和其他16家媒體發表了一系列文章，指控外國政府利用以色列NSO集團的飛馬軟體，監控全球至少180名記者和其他眾多目標人士。

據稱，飛馬軟體監控的目標包括了法國總統馬克宏（Emmanuel Macron）、印度反對黨領袖拉胡爾．甘地（Rahul Gandhi），及2018年10月2日在土耳其伊斯坦堡遇害的《華盛頓郵報》記者哈紹吉（Jamal Khashoggi）等。

在NSO集團發聲明說，「正如NSO此前聲明的那樣，我們的技術與哈紹吉令人髮指的謀殺案沒有任何關聯。」

而在今年5月6日，在一宗WhatsApp起訴NSO集團的隱私案中，加州陪審團裁定WhatsApp母公司Meta獲得44萬4,719美元的補償性賠償和1.673億美元的懲罰性賠償。

WhatsApp的控訴主要針對飛馬間諜軟體。訴訟稱，開發該間諜軟體的目的是「在使用安卓（Android）、蘋果iOS和黑莓（BlackBerry）作業系統的行動設備上，遠端安裝並遠端訪問、控制設備上包括通話、資訊和地理位置等資訊。」

「定期重啟設備」可自保

納扎羅瓦斯說，「雖然普通用戶偶爾也會成為附帶的攻擊目標，但是攻擊者通常會把這些代價高昂的漏洞利用攻擊留給那些擁有特別有價值資訊或特別敏感資訊的重要人物」；企業會向駭客提供「漏洞賞金」，以激勵他們發現這些漏洞並向公司報告，而不是將漏洞賣給中間商，中間商再將漏洞賣給非法使用漏洞的人。

豪斯認為，要抵禦零點擊攻擊「具有挑戰性」，但是採取一些簡單的網路安全步驟可以把風險降低。他建議用戶及時更新軟體和作業系統，定期重啟設備，並使用蘋果的鎖定模式等，尤其是當他們認為自己是高風險目標的時候。

納扎羅瓦斯說，為了應對漏洞利用，蘋果、谷歌和微軟等許多大型科技公司從數十億台設備中蒐集大量遙測數據，並利用這些數據檢測零點擊漏洞和其他複雜的攻擊，「當科技公司發現允許零點擊攻擊的漏洞時，可以迅速修復，並透過自動更新幾乎在第一時間讓數十億用戶同步修復」。

遙測數據是從手機和電腦等設備上遠端蒐集的資訊。這些數據，尤其是跟應用程式使用和行為有關的數據，會被傳送回中央系統，用於協助提高系統性能、修復問題或跟蹤活動等。◇