Kybernetické útoky prostredníctvom zero-click exploitov nie sú ničím novým. Čo však je novým trendom, je to, že cieľom sa stávajú už aj bežní užívatelia.
Zero-click exploit je zneužitie bezpečnostnej chyby v softvére, ktoré umožňuje útočníkovi vzdialene vykonať útok na zariadenie bez interakcie užívateľa. Táto technika môže byť použitá na špionáž, ovládnutie zariadenia, šírenie malwéru, ba dokonca vydieranie. Celkovo ide o veľmi nebezpečnú techniku, ktorá môže mať značný dopad na bezpečnosť a súkromie užívateľov. Zlou správou je, že proti týmto útokom sa môžu užívatelia len veľmi obmedzene brániť.
„Fakt, že počty skupín, špecializujúcich sa na tento druh útoku, narastajú, je veľmi znepokojujúci. Útočníci si osvojili techniky, predtým využívané iba vysoko profilovanými zložkami, ako sú napríklad štátne či vládne organizácie a tajné služby. Kyberzločinci využívajú model, kedy ich predávajú za jednorazovú platbu (Exploit as a Service), na napadnutie súkromného sektora, respektíve bežných užívateľov, teda nielen vysoko postavených alebo politicky exponovaných osôb, vládnych organizácií a ďalších cieľov s cennými informáciami,“ uvádza Petr Kocmich, Global Cyber Security Delivery Manager spoločnosti Soitron. Preto je podľa neho dôležité, aby nielen podniky, ale aj užívatelia dodržiavali metódy a postupy najlepšej praxe, odporúčané v oblasti kybernetickej bezpečnosti, a starali sa o ochranu svojich zariadení pred prípadnými útokmi.
Jedným z najznámejších a dobre popísaným zero-click exploitom bol spyware ENDOFDAYS, ktorý slúžil ku kompromitácií iPhonov, konkrétne pozvánok v iCloud kalendári.
„ENDOFDAYS je ukážkovým prípadom, kedy bez nutnosti akejkoľvek interakcie zo strany užívateľa, útočník dokáže ovládnuť celé zariadenie. A to vrátane exfiltrácie nahrávok hovorov, vďaka prístupu k mikrofónu, a ovládnutia prístupu k GPS lokácii zariadení. Útočník ďalej získa prístup k prednej aj zadnej kamere, možnosť prehľadávania súborov v zariadení a maskovania samotného spyware, aby nedošlo k jeho odhaleniu. Samotný spyware sa do zariadenia dostane celkom triviálnou cestou – a to odoslaním špeciálne vytvorenej pozvánky do iCloud kalendára, so staršími časovými pečiatkami (pozvánka, ktorá už prebehla v minulosti),“ popisuje Petr Kocmich.
Takáto pozvánka je automaticky pridaná do kalendára užívateľa bez akéhokoľvek upozornenia alebo výzvy, čo umožňuje, aby exploit ENDOFDAYS bežal bez interakcie užívateľa a útoky boli neodhaliteľné. Zraniteľnosť bola v nových verziách systému opravená, ale chyba sa týkala všetkých verzií iOS od verzie 1.4 až po verziu 14.4.2 a podľa informácií vyplývajúcich z výskumu, boli aktívne zneužívané predovšetkým v roku 2021.
Napriek tomu sa i dnes objavujú pokročilé aplikácie, ktoré sa vedia vyhnúť detekcii a zamerať sa na konkrétnu zraniteľnosť. „Tu sa jasne ukazuje aj to, prečo je potrebné zariadenie pravidelne aktualizovať. Zero-click exploit totiž môže byť prítomný v zariadení neobmedzene dlhú dobu, bez toho, aby o tom užívateľ vedel. Preto je nutné dodržiavať zásady kybernetickej bezpečnosti a zaistiť, aby bol softvér vždy aktuálny a aby boli použité ďalšie bezpečnostné opatrenia,“ upozorňuje Petr Kocmich.
Pre Apple to však nie je prvý a ani posledný objavený príklad zero-click exploitu. Napríklad v roku 2020 bola odhalená chyba v aplikácii iMessage, ktorú mohli útočníci využiť k vzdialenému spusteniu škodlivého kódu na zariadeniach užívateľov, bez toho, aby bolo treba kliknúť na odkaz alebo otvoriť prílohu. Tieto chyby sa však zďaleka nevyhýbajú ani konkurenčnému operačnému systému Android a ani jednotlivým mobilným aplikáciám.
„O niektorých zneužiteľných zraniteľnostiach v aktuálnych verziách operačných systémov a aplikáciách ešte ani nevieme, hoci môžu byť už zneužívané. Pokiaľ sa na tieto zraniteľnosti nepríde, môžu byť najprv využívané pre účely špionáže a „vyšších záujmov“, neskôr speňažené formou predaja Exploit as a Service služby zákazníkom na Dark Webe“ dodáva Petr Kocmich. Ukazuje sa teda, že aj bežní užívatelia môžu byť ohrození zero-click exploitom.
Zero-click útoky sú obvykle založené na chybách v softvére, a to vrátane operačných systémov, aplikácií a služieb. Nezodpovedanou otázkou však zostáva to, či ide len o chyby alebo niečí úmysel.
„Čím rýchlejšie sa nový softvér vyvíja, tým viac rastie snaha o riadenie a zabezpečenie kódu a celého softvérového vývojového cyklu. Automatizujeme testovanie, zaraďujeme dodatočné bezpečnostné testy v rannom štádiu vývoja (Shift-Left do CI-CD pipeline), vykonávame statickú a dynamickú kontrolu kódu, využívame umelú inteligenciu k dohľadaniu chýb v kóde, výsledný celok podrobíme automatizovanému, ale aj manuálnemu penetračnému testovaniu, avšak bolo by pochabé sa domnievať, že všetky typy zraniteľností vznikajú len bežnými chybami v kóde a potom sa teda natíska otázka, či nie sú niektoré zraniteľnosti skôr zámernými zadnými dvierkami, slúžiacimi na konkrétne účely,“ zakončuje Petr Kocmich.
We are in the process of finalizing. If you want to be redirected to our old version of web site, please click here.