您需要保护自己免受零点击攻击

多年来一直追踪数字威胁的网络安全监督组织 Citizen Lab 检查了一名沙特活动人士的手机内容后，研究人员很快发现该手机已被感染。但这部手机并非感染了普通病毒。它感染的是 NSO Group 的零点击 Pegasus 间谍软件——这种软件甚至不需要人们点击链接即可感染。

自称数据泄露猎人的 Chris Vickery 表示，在安装修复程序之前，Pegasus“根本无法保护您的手机。这简直是噩梦级的可怕。”保持软件更新是保护自己的最简单方法，因为公司在发现新漏洞后会通过这种方式发布修复程序。

以下是您需要了解的零点击软件和 Pegasus 的知识。

像 Pegasus 这样的功绩为什么这么可怕？

Pegasus 是以色列 NSO 集团开发和销售的一款软件漏洞产品的名称，“FORCEDENTRY”是该漏洞的更具体名称。与电影中看到的病毒不同，这种病毒不会传播。它只针对单个电话号码或设备，因为它是由一家营利性公司销售的，该公司没有动机让病毒易于传播。不太复杂的 Pegasus 版本可能需要用户做一些事情来入侵他们的设备，比如点击未知号码发送给他们的链接。

过去，有人会发送短信告诉人们他们的孩子遭遇了车祸，或者有人刚刚使用了他们的信用卡——这些都是网络钓鱼行为。只要点击链接，手机就会被注入 Pegasus 软件，从而让目标用户完全控制手机。

[相关：为什么你需要尽快更新你的苹果产品软件]

但你可能甚至不知道自己已经成为攻击目标。“为了进行调查，你希望尽可能保持低调，”维克里说，“因此黑客可能不会使用手机做一些明显的事情来暴露他们的存在。”

什么是零点击漏洞？

Pegasus 的最高级版本涉及零点击漏洞。它不需要人工干预就能感染手机。“这就像一颗子弹从远处射中你的头部，”维克里说。“你毫无防御能力。”黑客可以向你的手机发送漏洞载荷。在 Citizen Lab 发现的案例中，Pegasus 是通过损坏的 gif 文件发送的。

该漏洞隐藏在 iPhone 图像解析软件中。因此，苹果发布了紧急修复程序，并敦促所有人更新其设备。

什么是零日攻击？

零日攻击、零日漏洞和零日漏洞利用都是谈论同一基本事物的术语：软件中存在漏洞，但制造商尚未发布修复程序或补丁。“由于防御系统还没有时间追上攻击者，所以这是一个零日漏洞利用，”维克里说。“一旦有人在第二天发布补丁，它就可以被视为一日漏洞利用，这意味着可能只有一天的时间来修补它。”

如果你是一名黑客，你会希望零日漏洞持续尽可能长的时间，以便将来能够利用它。许多零日漏洞在地下出售和传播，专门避免让受害者知道，以便零日漏洞可以持续更长时间。维克里说，一些黑客可能会发现这些零日漏洞并报告，以便从他们报告的公司获得奖励，但军事情报机构等地方会囤积零日漏洞知识，因为它可以非常有效地用于渗透目标网络。2013 年，美国国家安全局花费 2500 万美元购买软件漏洞，2020 年，美国国家安全局公布了一份他们发现的中国资助的网络参与者正在利用的 25 个漏洞清单。

但这个过程就像一场猫捉老鼠的游戏，因为一旦你使用它，你就冒着被对手了解你利用他们的方式的风险。“对于我们国家来说，知道如何做到这一点的价值与告诉制造商以便他们能够保护所有人的价值之间存在一个灰色地带，”维克里说。

NSO 集团是谁？

NSO 是一个经营多年的以色列雇佣黑客组织。他们向阿拉伯联合酋长国和沙特阿拉伯等地提供 Pegasus 等软件。该组织声称他们的软件协助抓捕了 El Chapo，一项诉讼将遇害记者 Jamal Khashoggi 的谋杀案与沙特使用该软件联系起来。一份报告指出，NSO 试图向美国当地警方推销他们的软件。

NSO 集团表示，他们为世界各国政府提供该软件服务，以帮助打击恐怖主义和犯罪。“NSO 集团表示，他们的间谍软件只针对罪犯和恐怖分子，”公民实验室高级研究员约翰·斯科特-雷顿 (John Scott-Railton) 在 Twitter 上写道。“但我们又一次……发现了他们的漏洞，因为他们被用来对付一名激进分子。”

Facebook 旗下的 WhatsApp 目前正在起诉 NSO 集团，指控该公司提供的软件可让人们监视记者和政治异见人士。

“该公司声称他们所做的只是提供软件来进行攻击，”维克里说。“这有点像枪支制造商声称他们销售枪支，但他们并不是瞄准某人的头部并扣动扳机的人。”

您如何知道自己是否已成为攻击目标？

通常很难确定你的手机是否被感染。这类攻击会悄无声息地发生，取决于部署它的人愿意承担的风险有多大。而且由于黑客控制了手机中的所有进程，他们可以删除最初感染设备的文本或链接，从而阻止通知显示。（然而，正如一位安全专家本周早些时候告诉PopSci 的那样，“这些攻击对大多数苹果用户来说并不构成威胁。”）

如果您的手机记录与某个域或 IP 地址有联系，则表明您的手机已被入侵 - 这是 Pegasus 在作怪，因为它正在连接命令和控制服务器，但只有像公民实验室这样的地方才有资源发现这一点。

一旦设备被感染，就无法保护自己。专家表示，减轻设备被感染可能造成的损害的一种方法是，如果工作涉及敏感信息，则要保留两部手机，一部用于工作，一部用于私人用途。

普通人能做的最重要的事情就是保持软件更新，因为软件更新通常会附带安全漏洞补丁。并仔细检查收到的信息中的电话号码和电子邮件，确保它们来自你信任的人。

本文已更新。