Zero-click exploit je zneužití bezpečnostní chyby v softwaru, které umožňuje útočníkovi vzdáleně provést útok na zařízení bez interakce uživatele. Tato technika může být použita k účelům jako je špionáž, ovládnutí zařízení, šíření malwaru, a dokonce vydírání. Celkově jde o velmi nebezpečnou techniku, která může mít značný dopad na bezpečnost a soukromí uživatelů. Špatnou zprávou je, že proti těmto útokům mají uživatelé jen velmi omezenou obranu.
„Fakt, že počty skupin specializující se na tento druh útoku narůstají, je velmi znepokojivý. Útočníci si osvojili techniky, dříve využívané pouze vysoce profilovanými složkami, jako jsou například státní či vládní organizace a tajné služby. Kyberzločinci využívají modelu, kdy je prodávají za jednorázovou platbu (Exploit as a Service), pro napadení soukromého sektoru, respektive běžných uživatelů, tedy nejen vysoko postavených nebo politicky exponovaných osob, vládních organizací a dalších cílů s cennými informacemi,“ uvádí Petr Kocmich, Global Cyber Security Delivery Manager společnosti Soitron. Proto je podle něj důležité, aby nejen podniky, ale i uživatelé dodržovali metody a postupy nejlepší praxe doporučované v oblasti kybernetické bezpečnosti a starali se o ochranu svých zařízení před případnými útoky.
Dopad zranitelností
Jedním z nejznámějších a dobře popsaným zero-click exploitem, byl spyware ENDOFDAYS, který sloužil ke kompromitaci iPhonů, konkrétně pozvánek v iCloud kalendáři. „ENDOFDAYS je ukázkovým případem, kdy bez nutnosti jakékoliv interakce ze strany uživatele, útočník dokáže ovládnout celé zařízení. A to včetně exfiltrace nahrávek hovorů díky přístupu k mikrofonu, ovládnutí přístupu k GPS lokaci zařízení. Útočník dále získá přístup k přední i zadní kameře, možnost prohledávání souborů v zařízení a maskování samotného spyware, aby nedošlo k jeho odhalení. Samotný spyware se do zařízení dostane zcela triviální cestou – a to odesláním speciálně vytvořené pozvánky do iCloud kalendáře, se staršími časovými razítky, tedy jako pozvánka, která již proběhla v minulosti,“ popisuje Petr Kocmich.
Taková to pozvánka je automaticky přidána do kalendáře uživatele bez jakéhokoliv upozornění nebo výzvy, což umožňuje, aby exploit ENDOFDAYS běžel bez interakce uživatele a útoky byly pro cíle neodhalitelné. Zranitelnost byla v nových verzích systému opravena, ale chyba se týkala všech verzí iOS od verze 1.4 až do verze 14.4.2 a podle informací plynoucích z výzkumu, byla aktivně zneužívána především v roce 2021.
Navzdory tomu se i dnes objevují pokročilé aplikace, které se umí vyhnout detekci a zaměřit se na konkrétní zranitelnost. „Tady se jasně ukazuje i to, proč je nutné zařízení pravidelně aktualizovat. Zero-click exploit totiž může být přítomen v zařízení po neomezeně dlouhou dobu, aniž by si toho uživatel byl vědom. Proto je nutné dodržovat zásady kybernetické bezpečnosti a zajistit, aby byl software vždy aktuální a aby byla použita další bezpečnostní opatření,“ upozorňuje Petr Kocmich.
Terčem jsou i další
Pro Apple to však není první a ani poslední objevený příklad zero-click exploitu. Například v roce 2020 byla odhalena chyba v aplikaci iMessage, kterou mohli útočníci využít k vzdálenému spuštění škodlivého kódu na zařízeních uživatelů, aniž by bylo třeba kliknout na odkaz nebo otevřít přílohu. Tyto chyby se však zdaleka nevyhýbají ani konkurenčnímu operačnímu systému Android a ani jednotlivým mobilním aplikacím.
„O některých zneužitelných zranitelnostech v aktuálních verzích operačních systémů a aplikacích ještě ani nevíme, ačkoliv mohou být již zneužívány. Dokud se na tyto zranitelnosti nepřijde, mohou být nejprve využívány pro účely špionáže a „vyšších zájmů“, posléze zpeněženy formou prodeje Exploit as a Service služby zákazníkům na Dark Webu,“ dodává Petr Kocmich. Ukazuje se tedy, že i běžní uživatelé mohou být ohroženi zero-click exploitem.
Sofistikovanost útočníků se zvyšuje
Zero-click útoky jsou obvykle založeny na chybách v softwaru, a to včetně operačních systémů, aplikací a služeb. Nezodpovězenou otázkou však zůstává to, zda jde jen o chyby, nebo něčí úmysl.
„Čím rychleji se nový software vyvíjí, tím více roste snaha o řízení a zabezpečení kódu a celého softwarového vývojového cyklu. Automatizujeme testování, zařazujeme dodatečné bezpečnostní testy v raném stádiu vývoje (Shift-Left do CI-CD pipeline), provádíme statickou a dynamickou kontrolu kódu, využíváme umělou inteligenci k dohledání chyb v kódu, výsledný celek podrobíme automatizovanému, ale i manuálnímu penetračnímu testování, avšak bylo by pošetilé se domnívat, že všechny typy zranitelností vznikají jen běžnými chybami v kódu a pak tedy vyvstává otázka, zda nejsou některé zranitelnosti spíše záměrnými zadními vrátky, sloužícími pro konkrétní účely,“ zakončuje Petr Kocmich.