手机如何被黑客入侵:7 种常见攻击方法详解
移动设备的安全通常比PC安全更为严密,但用户仍然可能被社交工程技术欺骗,智能手机也仍然可能遭到黑客攻击。以下是需要注意的事项。
智能手机革命本应为科技行业提供第二次机会,推出安全的计算平台。这些新设备据称具有锁定功能,能够抵御恶意软件,这与漏洞百出的PC和易受攻击的服务器截然不同。
但事实证明,手机仍然是计算设备,其用户仍然是人,而这两者始终是薄弱环节。为了更好地了解攻击者入侵用户口袋中这台强大计算机的最常见方式,我们采访了安全专家。以下是我们的发现。
7种破解手机的方法
- 零点击间谍软件
- 社会工程学
- 恶意广告
- 短信网络钓鱼
- 虚假应用程序
- 借口
- 物理访问
零点击间谍软件
智能手机上最可怕、最复杂的攻击是零点击攻击,因为它们不需要明显的用户干预就能得逞。KnowBe4的数据驱动防御专家Roger Grimes解释了商业监控供应商 (CSV) 如何利用这些漏洞进行攻击。
CSV(有时也称为商业间谍软件供应商)是向出价最高的人出售恶意软件和漏洞利用程序的犯罪组织。“我们今天发现的绝大多数零日漏洞都来自 CSV ,尤其是在手机上,”Grimes 说道。“2023 年,利用零日漏洞进行攻击的次数超过了非零日漏洞。” 最危险的变体无需用户交互:“受害者无需执行任何操作,”他解释说。“零日漏洞无需任何最终用户接触即可启动,或者用户只需阅读消息、打开电子邮件、打开附件或点击链接即可。”
格莱姆斯强调,许多漏洞利用就像发送后台推送消息或 WhatsApp 短信一样简单——“用户是否看到它并不重要。” 他补充道:“零点击攻击几乎可以覆盖所有你能联系到的受害者。” 这些攻击通常以六位数或七位数的价格出售给商业供应商或民族国家。“据传,像美国这样实力雄厚的民族国家拥有数千种零点击攻击……并在需要时使用它们。”
缓冲区溢出等由来已久的技术。“缓冲区溢出允许恶意代码将合法处理程序的执行重定向到恶意代码的执行,”Grimes 解释道。“您无需打开消息或与其交互——只要接收它就可能触发漏洞。” 他指出,虽然大多数现代漏洞利用都需要用户交互,但“大约 15% 的漏洞利用只需‘攻击’底层服务或应用程序,漏洞就会启动。”
ADAMnetworks 首席执行官 David Redekop 强调,虽然零点击漏洞对高价值目标构成了严重且持续的威胁,但“它并非针对大众,”他说道。普通用户面临着一系列技术含量较低的攻击——但在很多情况下,这些攻击同样危险。
社会工程学
对于任何黑客来说,入侵设备最简单的方法就是用户自己开门。当然,这说起来容易做起来难,但这正是大多数社会工程攻击的目标。
智能手机操作系统的安全机制通常比PC或服务器更严格,应用程序代码在沙盒模式下运行,防止其提升权限并控制设备。然而,这种备受吹捧的安全模式——移动用户需要采取积极措施才能让代码访问手机操作系统或存储的受保护区域——有一个缺点:它会导致大量的弹出消息,而我们中的许多人已经习惯了忽略这些消息。
Kuma 安全分析师 Catalino Vega III 表示:“移动设备上的应用程序会隔离权限,以保护用户免受恶意应用程序的侵扰,防止其随意获取用户数据。系统会弹出类似这样的提示:‘您是否允许此应用程序访问您的照片?’由于用户体验已将大多数提示视为访问功能的门槛,大多数用户都会直接允许应用程序访问其请求的内容。”
Polyguard 首席执行官兼联合创始人 Joshua McKenty 表示,有组织团体使用的新技术工具正在推动社会工程攻击的复苏,例如“各种形式的网络钓鱼和社会工程攻击,如今都得到了人工智能的强化,”他说道。“这包括深度伪造、高度个性化的电子邮件以及利用泄露身份数据的短信诈骗。”
恶意广告
产生这些欺骗性对话框的一种传统机制是所谓的“恶意广告”,它搭载在为移动广告生态系统开发的基础设施上,无论是在浏览器中还是在应用程序内。
Polyguard 首席技术官兼联合创始人 Khadem Badiyan 称,这是一种正在消亡的经典做法。“由于浏览器沙盒技术的进步、应用商店政策的严格,以及人们普遍转向以应用为中心的移动端而非传统的网页浏览方式,恶意广告的有效性已经大大降低,”他说道。
但 ADAMnetworks 的 Redekop 认为,恶意广告在网络犯罪生态系统中仍然占据着重要的地位。“考虑到谷歌定期通过其 TAG 公告报告被移除的域名数量,以及第三方报告称谷歌在 2024 年屏蔽了 51 亿条有害广告并暂停了 3920 万个广告客户账户,恶意广告问题显然远未过时,”他说道。
短信网络钓鱼
攻击者用来在受害者面前获取可点击链接的另一种方式是短信,这种做法称为短信网络钓鱼或短信网络钓鱼。
“网络犯罪分子使用短信钓鱼的方式多种多样,具体取决于他们的意图和目标,”Wire 首席风险官 Rasmus Holst 表示。“如果目标是在设备上安装恶意软件,通常会附加一个文件,并附带一条消息,试图诱使用户点击并下载。例如,网络犯罪分子可以冒充可信赖的人,例如雇主或经理,要求员工查看附件,从而为忙碌且毫无戒心的受害者设下陷阱。”
短信钓鱼是一种久经考验的黑客技术,但 Polyguard 的 McKenty 表示,如今“挑战在于如何让链接‘可点击’”。过去几个月,我们发现苹果短信链接防御系统中存在多个漏洞,例如通过 Google 等受信任域名(利用 AMP 和 Google Sites 漏洞)发送恶意链接,利用“受基本身份验证保护”的 URL 的例外情况(使用很少使用的 user:pass@host 格式的空凭证),甚至还有围绕空子域名的明显解析漏洞。
虚假应用程序
另一种诱导人们在手机上感染恶意软件的社会工程手段是,诱使他们下载一个他们自以为需要但实际上恶意的应用程序。麦肯蒂指出,“能够访问摄像头、麦克风或位置信息的玩具和游戏”是这类应用程序的强力版本。
由于手机拥有沙盒模型,将应用程序代码与操作系统隔离,这类应用程序过去专门针对“越狱”的iPhone,即用户修改后安装不符合苹果标准的应用程序。但据曾在美国国家安全局工作多年、现任移动安全公司iVerify联合创始人兼首席运营官的洛基·科尔 (Rocky Cole) 称,这种日子已经过去了。
“说到iOS手机黑客攻击,‘越狱’这个词已经没什么意义了,”他说。“我们已经好几年没见过利用iOS漏洞进行越狱了。真正的iOS黑客攻击手段非常复杂,通常是国家行为者和商业间谍软件供应商的把柄。对于安卓手机来说,大多数‘黑客攻击’都涉及以某种方式加载恶意应用,要么是潜入某个应用商店,要么是诱骗用户侧载,要么是以更复杂的方式让它运行。”
借口
如果用户不愿放弃对设备的控制,攻击者就可以越过他们的控制权,进入他们的移动运营商。你可能还记得 2000 年代中期英国媒体丑闻,当时小报使用所谓的“诈骗”技术访问名人和犯罪受害者的手机语音信箱。这个过程也称为“借口” ,攻击者需要拼凑受害者的足够个人信息,冒充受害者与手机运营商通信,从而获取受害者账户的访问权限。
这些小报只是在追逐独家新闻,但犯罪分子可以使用同样的手段造成更大的破坏。“如果验证成功,攻击者就会说服电话运营商将受害者的电话号码转移到他们拥有的设备上,这被称为SIM卡交换, ”信息安全研究所的信息安全经理亚当·科恩克(Adam Kohnke)说道。“现在,通话、短信和访问代码(例如银行或金融机构通过短信发送到您手机的双因素身份验证码)都落到了攻击者手中,而不是您。”
获得手机的物理访问权限
在某人手机上安装恶意软件最明显却最容易被忽视的方法之一,就是在获得设备物理访问权限后手动操作。这在家庭暴力或跟踪案件中尤为重要,但也常用于商业间谍活动。
Polygaurd 的 Badiyan 表示:“当有人能够物理访问设备时,风险状况就会发生显著变化。FlexiSPY、mSpy 或 Xnspy 等工具可以快速安装并静默运行,捕获短信、通话记录、GPS 位置,甚至在用户不知情的情况下激活麦克风或摄像头。对于企业间谍活动来说,恶意配置文件(尤其是在 iOS 上)或侧载 APK(在 Android 上)可以被部署来重新路由数据、操纵网络流量或引入持久后门。此外,还存在基于硬件的威胁:恶意充电线、键盘记录器或植入设备,这些威胁可能会窃取数据或注入恶意软件。然而,这些威胁在高价值目标之外往往不太常见。”
Badiyan 表示,如果有人能访问你的手机并知道你的 PIN 码,生物识别防御措施就可能被绕过。“如果攻击者用你的密码解锁了你的设备,他们就可以添加自己的指纹或面部扫描,从而获得持久访问权限而不留下任何可见的痕迹,”他说道。“缓解措施包括:设置强密码、生物识别控制、锁定时禁用 USB 配件,以及定期审核已安装的配置文件和设备管理设置。”
蓝牙和 Wi-Fi 黑客已不再受欢迎
据我们采访的安全专家称,两种曾经常用的获取手机及其数据的方式——蓝牙和 Wi-Fi——现在基本上已经得到了保护。
ADAMnetworks 首席执行官 David Redekop 列举了一系列阻止 Wi-Fi 成为攻击媒介的因素:“传统 Wi-Fi 网络上的公共用户越来越熟悉 VPN,只需使用 VPN 即可保护自己;常见的大品牌 Wi-Fi 主机正在实施可弥补漏洞的现代硬件;自爱德华·斯诺登事件以来,越来越多的公共网站和服务都进行了加密,即使是 Wi-Fi MiTM(中间人攻击)也无法获取太多有用信息。”
Polyguard 首席执行官 Joshua McKenty 补充道:“像 BlueBorne 这样基于蓝牙的漏洞利用,其利用的是蓝牙堆栈中的漏洞,而这类漏洞也已经减少。移动操作系统的定期补丁和权限收紧已经堵住了大部分此类漏洞的传播途径。”
他们闯进来了。现在怎么办?
一旦攻击者使用上述某种技术站稳脚跟,他们的下一步行动是什么?
Sencode 网络安全主管 Callum Duncan 表示,虽然智能手机操作系统最终源自类 Unix 系统,但成功入侵的攻击者会发现自己所处的环境与 PC 或服务器截然不同。
“大多数应用程序与操作系统和其他应用程序的交互本质上都是通过API调用,”他说,“iOS和Android的内核与任何类似Unix内核的内核都大相径庭,因此共享漏洞几乎不可能。这两种设备确实存在命令行,但只有拥有这两种设备最高权限的用户才能访问,而且通常只有获得root权限或越狱设备才能访问。”
但困难并不意味着不可能。“这类漏洞确实存在,”邓肯说。“权限提升是这一过程的关键,绕过内置安全机制会很困难,但任何能够在用户设备上运行代码的攻击者都在做这件事——在用户设备上运行代码——所以如果他们足够聪明,他们可以让设备为所欲为。像NSO 集团这样的国家资助组织已经利用这些技术构建了完整的商业模式,为政府和知名人士监视民众。”
Coalfire 应用安全卓越中心主任凯特琳·约翰逊 (Caitlin Johanson) 表示,攻击者一旦攻破设备,就可以获取大量敏感数据。
她表示:“SQLite 等数据存储是由已安装的应用程序创建的,可能包含从 Web 请求和响应内容到潜在敏感信息和 Cookie 的所有内容。iOS 和 Android 系统中常见的漏洞包括在内存中缓存应用程序数据(例如身份验证凭证),以及保留正在运行的应用程序的缩略图或快照,这些漏洞可能会无意中将敏感信息存储到设备上。敏感信息(通常未加密)大量存在于浏览器 Cookie 值、崩溃文件、首选项文件以及以易于读取的格式直接存储在设备上的 Web 缓存内容中。”
:“正是这些为开发目的而创建的工具,让攻击者更容易提取、交互甚至修改此类数据,例如Android 上的abd ,以及 iOS 上的 iExplorer 或plutil 。标准实用程序可用于检查从设备复制的任何数据库文件,如果我们遇到解密需求,还有像 Frida 这样的工具可以运行脚本来解密存储的值。”
亲密无间
这一切都不容易。大多数用户不会点击短信钓鱼链接,也不会给可疑的应用程序授予更高权限。即使黑客成功入侵设备,他们也常常会被手机内置的安全措施所阻碍。
但攻击者确实有一项优势:坚定的决心。“攻击者创建了高度可重复且自动化的模型,从各个角度对移动应用程序或新操作系统版本进行攻击,希望能找到漏洞,”Lookout 产品营销总监 Hank Schless 解释道。“一旦他们发现可利用的漏洞,他们就会在修复程序发布之前尽快利用它。”
或许最大的弱点在于人类的自满:尽管十多年来有证据表明事实并非如此,但许多人仍然认为智能手机是安全的,与其他信息安全领域截然不同。“普遍存在的观念是,手机并非传统的终端,除了极少数例外,它们并没有被纳入台式机等其他设备的标准和实践体系,”iVerify 的 Cole 表示。“我们已经不再认为移动安全应该是一个小众话题或一个自成体系的解决方案。它们需要被纳入任何全面的终端检测和响应策略中。”
我如何知道我是否遭到了黑客攻击?
担心你的手机被黑客入侵?我们采访的两位专家建议,要注意以下危险信号:
ADAMnetworks 首席执行官 David Redekop:
- 如果手机安装了您未请求的应用程序,请务必小心。
- 如果安装的应用程序功能过于简单,它可能在提供一项有用的功能的同时,秘密地执行另一项功能。
- 警惕任何拥有非必需权限的应用。例如,除地图外,地理位置通常不是必需的。
Pixel Privacy 消费者隐私倡导者 Chris Hauk:
- 你的设备是否突然开始消耗比平时更多的数据,经常超出每月数据限额,而你却依然没有改变上网习惯?这可能是间谍软件在作祟,或者是有人在捣鬼。
- 如果您的智能手机无缘无故地开始重启,则有人可能在您的设备上安装了恶意软件或间谍软件。
- 在模拟电话线时代,我们习惯了背景噪音,例如嗡嗡声或其他声音漏进通话。然而,如今的数字电话网络几乎消除了这些噪音。如果您听到其他声音或未知声音,则可能有人正在监听您的通话。
- 虽然看到设备电池续航时间逐年下降是智能手机用户的一个常见现象,但电池续航时间的突然下降可能意味着间谍软件或恶意软件正在迫使你的设备加班加点,在后台运行各种进程。你的手机工作负荷越大,电池续航时间就越短。你可能会同时遇到这种情况,同时数据流量也会增加。