智能手机革命本应为科技行业提供一个推出安全计算平台的第二次机会，这些新设备据称是封闭的，能够抵御恶意软件，与容易出错的个人电脑和易受攻击的服务器不同。

但手机仍然是计算设备，其用户仍然是人，这两者都是薄弱环节。我们与安全专家进行了交谈，以更好地了解攻击者可能入侵用户手机的最常见方式，以下是我们的发现。

7种入侵手机的方式

• 零点击间谍软件

• 社交攻击

• 恶意广告

• 短信钓鱼

• 假冒应用

• 借口骗取

• 物理访问

零点击间谍软件

智能手机上最可怕、最复杂的攻击是零点击攻击，因为它们不需要明显的用户干预就能成功。KnowBe4的数据驱动防御倡导者罗杰·格里姆斯(Roger Grimes)解释了商业监控供应商(CSVs)如何将这些漏洞武器化。

CSVs——有时也被称为商业间谍软件供应商——是向出价最高者出售恶意软件和漏洞的犯罪组织。“CSVs是当今我们发现的大多数零日漏洞的幕后黑手，尤其是在手机上，”格里姆斯说。“2023年，零日漏洞被用于攻击的次数超过了非零日漏洞。”最危险的变体不需要用户交互：“受害者什么也不用做，”他解释道。“零日漏洞会在没有任何终端用户接触的情况下启动，或者用户只需阅读一条消息、打开一封电子邮件、打开一个附件或点击一个链接。”

格里姆斯强调，许多漏洞就像发送一条后台推送消息或WhatsApp文本一样简单——“用户是否看到它并不重要。”他补充道：“通过零点击攻击，你几乎可以接触到所有你能联系到的受害者。”这些攻击通常以六位数或七位数的价格出售给商业供应商或国家。“据传，像美国这样足够强大的国家拥有数千个零点击攻击，并在需要时使用它们。”

格里姆斯指出，虽然零点击漏洞对高价值目标构成了严重且持续的威胁，“但这并不针对大众，”他说。普通用户面临着大量低技术含量的攻击——但在许多情况下，它们同样危险。

社交攻击

对于任何黑客来说，入侵任何设备最简单的方法就是让用户自己打开门。当然，实现这一点说起来容易做起来难，但这是大多数社交攻击的目标。

智能手机操作系统通常比个人电脑或服务器具有更严格的安全机制，应用程序代码在沙盒模式下运行，防止其提升权限并接管设备，但是，这种备受赞誉的安全模式——即移动用户需要采取肯定行动才能让代码访问手机操作系统或存储的保护区域——有一个缺点：它导致弹出大量提示消息，我们中的许多人学会了忽略这些消息。

“移动设备上的应用程序会隔离权限，以保护用户免受恶意应用程序随意访问数据的影响，”Kuma的安全分析师卡塔利诺·维加三世(Catalino Vega III)说。“提示变得很熟悉：‘你想允许此应用程序访问你的照片吗?’由于用户体验将接受大多数提示视为访问功能的途径，因此大多数用户会允许应用程序访问其请求的任何内容。”

Polyguard的CEO兼联合创始人乔舒亚·麦肯蒂(Joshua McKenty)表示，有组织团体使用的新技术工具正在推动社交攻击的复苏，例如“由AI助力的各种形式的网络钓鱼和社交攻击，”他说。“这包括深度伪造、高度个性化的电子邮件和短信诈骗，它们利用了数据泄露中的身份信息。”

恶意广告

传统上用于生成这些欺骗性对话框的机制之一是所谓的“恶意广告”，它们寄生在为移动广告生态系统开发的基础设施上，无论是在浏览器中还是在应用程序内。

Polyguard的CTO兼联合创始人卡德姆·巴迪扬(Khadem Badiyan)称这是一种正在消亡的经典方式。“由于浏览器沙盒技术的进步、应用商店政策的收紧以及从传统网页浏览向以应用为中心的移动使用的普遍转变，恶意广告的效果已大打折扣。”他说。

但ADAMnetworks的雷德科普(Redekop)认为，恶意广告仍在网络犯罪生态系统中占据重要地位。“考虑到谷歌定期报告通过其TAG公告删除的域名数量，以及第三方报告称谷歌在2024年屏蔽了51亿条有害广告并暂停了3920万个广告商账户，很明显，恶意广告问题远未过时。”他说。

短信钓鱼

攻击者用来让受害者点击链接的另一种方式是短信(SMS)消息，即所谓的短信钓鱼或smishing。

“网络犯罪分子可以通过多种方式使用短信钓鱼，具体取决于他们的意图和目标，”Wire的首席营收官拉斯穆斯·霍尔斯特(Rasmus Holst)说。“如果目标是在设备上安装恶意软件，那么通常会附加一个文件，并附上一条试图说服用户点击并下载的消息。例如，网络犯罪分子可以冒充受信任的人，如雇主或经理，要求员工查看附件文档，为忙碌且毫无戒心的受害者设下陷阱。”

短信钓鱼是一种久经考验的黑客技术，但Polyguard的麦肯蒂(McKenty)表示，如今“挑战在于让链接‘可点击’”。“在过去的几个月里，我们看到了苹果短信链接防御中的多个漏洞被利用，这包括通过Google等受信任域名(利用AMP和Google Sites漏洞)发送恶意链接，利用‘基本身份验证保护’URL的例外情况，使用用户:密码@主机的罕见格式中的空凭证，甚至利用空子域周围的明显解析漏洞。”

假冒应用

另一种说服人们在其手机上感染恶意软件的社交工程手段是说服他们下载他们认为想要但实际上是有害的应用程序。麦肯蒂(McKenty)指出，“能够访问相机、麦克风或位置的玩具和游戏”是这类应用程序中特别有力的版本。

由于手机具有沙盒模型，将应用程序代码与操作系统隔离，因此这类应用程序过去专门针对“越狱”的iPhone，即用户已修改以安装不符合苹果标准的应用程序的iPhone，但曾在国家安全局(NSA)工作多年、现任移动安全公司iVerify联合创始人兼首席运营官的罗基·科尔(Rocky Cole)表示，那些日子已经一去不复返了。

“说到针对iOS的移动电话黑客攻击，‘越狱’这个词已经没有太大意义了，”他说。“我们已经多年没有看到与iOS漏洞相关的越狱了。实际的iOS黑客攻击都很复杂，通常是国家行为体和商业间谍软件供应商的领域。对于安卓系统来说，大多数‘黑客攻击’都涉及以某种方式加载恶意应用程序，要么是通过潜入某个应用商店，要么是说服用户侧载它，要么是以某种更复杂的方式让它运行。”

借口骗取

如果用户不愿意放弃对其设备的控制权，攻击者可以绕过他们，直接联系他们的移动运营商。你可能还记得21世纪中期英国媒体的丑闻，当时小报使用他们所谓的“诱骗”技术来访问名人和犯罪受害者的手机语音信箱，这一过程也被称为借口骗取，涉及攻击者拼凑出关于受害者的足够个人信息，以便在与受害者的手机运营商通信时冒充他们，从而获得对受害者账户的访问权限。

小报只是为了获取独家新闻，但犯罪分子可以使用同样的技术造成更大的损害。“如果验证成功，攻击者会说服电话运营商将受害者的电话号码转移到他们拥有的设备上，这就是所谓的SIM卡交换，”Infosec Institute的信息安全经理亚当·科恩克(Adam Kohnke)说。“通话、短信和访问代码——比如银行或金融服务提供商通过短信发送到手机的第二因素身份验证代码——现在都会发送给攻击者，而不是你。”

获取他人手机的物理访问权限

在他人手机上安装恶意软件最明显(但常被忽视)的方法之一，就是一旦获得其设备的物理访问权限后手动安装，这在家庭暴力或跟踪场景中尤为重要，但也被用于商业间谍活动。

“当有人获得设备的物理访问权限时，风险格局会发生显著变化，”Polygaurd的Badiyan表示，“FlexiSPY、mSpy或Xnspy等工具可以快速安装并静默运行，捕获短信、通话记录、GPS位置，甚至能在用户不知情的情况下激活麦克风或摄像头。对于商业间谍活动，恶意配置文件(尤其是iOS上的)或侧载的APK(Android上的)可以被部署以重定向数据、操纵网络流量或引入持久后门。此外，还存在基于硬件的威胁：恶意充电线、键盘记录器或植入设备，这些可以窃取数据或注入恶意软件，然而，这些手段在高价值目标之外并不常见。”

Badiyan表示，如果有人知道你的PIN码，生物识别防御也可能被绕过。“如果攻击者使用你的密码解锁了你的设备，他们可以添加自己的指纹或面部扫描，从而在不留下可见痕迹的情况下获得持久访问权限，”他说，“缓解措施包括设置强设备密码、生物识别控制、锁定状态下禁用USB配件，以及定期审计已安装的配置文件和设备管理设置。”

蓝牙和Wi-Fi黑客攻击已不再流行

据安全专家称，曾经常见的两种获取手机及其数据访问权限的方式——蓝牙和Wi-Fi——现在已基本得到保障。

ADAMnetworks的CEO David Redekop列出了使Wi-Fi不再是攻击途径的几个因素：“公共用户在使用旧版Wi-Fi网络时越来越多地使用VPN进行自我保护;常见的大品牌Wi-Fi主机正在实施现代硬件以关闭漏洞;而且，自爱德华·斯诺登事件以来，越来越多的公共网站和服务都进行了加密，即使Wi-Fi中间人攻击也无法获取太多有用信息。”

Polyguard的CEO Joshua McKenty补充道：“像BlueBorne这样依赖蓝牙堆栈漏洞的蓝牙攻击也已经减少。移动操作系统定期更新补丁和收紧权限已经关闭了大多数此类途径。”

他们已经侵入，接下来呢?

一旦攻击者使用上述技术之一获得了立足点，他们的下一步是什么?

尽管智能手机操作系统最终源于类Unix系统，但成功入侵的攻击者会发现，他们所处的环境与PC或服务器截然不同，Sencode Cybersecurity的总监Callum Duncan表示。

“大多数应用程序通过本质上属于API调用的方式与操作系统和其他应用程序交互，”他说，“iOS和Android的内核与任何类似于Unix的基底都大不相同，因此共享漏洞几乎不可能。两种设备都存在命令行，但只有最高权限才能访问，而且通常只能通过越狱或获取root权限来访问。”

但这并不意味着不可能。“这种类型的攻击确实存在，”Duncan说，“权限提升将是这一过程的关键，绕过内置安全机制将很困难，但任何能够在用户设备上运行代码的攻击者都在这样做——在用户设备上运行代码——因此，如果他们足够聪明，他们可以让设备做任何他们想做的事情。像NSO集团这样的国家资助团体已经利用这些技术为政府和高知名度个人建立了完整的商业模式。”

Coalfire的应用安全卓越中心总监Caitlin Johanson表示，在设备上获得立足点的攻击者可以访问大量敏感数据。

“SQLite等数据存储库由已安装的应用程序创建，可能包含从网页请求和响应内容到潜在敏感信息和cookie的所有内容，”她说，“iOS和Android中常见的弱点包括在内存中缓存应用程序数据(如身份验证凭据)，以及运行应用程序的缩略图或快照的持久性，这些可能会无意中将敏感信息存储到设备上。敏感信息——最常未加密——在浏览器cookie值、崩溃文件、偏好设置文件和以易于阅读的格式创建的Web缓存内容中大量存在，这些内容直接存储在设备上。”

“为开发目的而创建的工具正是攻击者更容易提取、交互甚至修改此类数据的原因，例如Android上的abd或iOS上的iExplorer或plutil，”她继续说道，“标准实用程序可用于检查从设备复制的任何数据库文件，如果我们需要解密，还有像Frida这样的工具可以运行脚本来解密存储的值。”

盗贼团伙

这些都不容易，大多数用户不会点击网络钓鱼短信链接或授予可疑应用程序增强权限。即使黑客在设备上获得了立足点，他们也常常被设备内置的安全措施所阻挠。

但攻击者有一个优势：坚定的决心。“攻击者创建高度可重复和自动化的模型，从各个角度尝试撬开移动应用程序或新操作系统版本的弱点，希望找到一个薄弱点，”Lookout的产品营销总监Hank Schless解释道，“一旦他们找到可利用的弱点，就会尝试在修复发布之前尽快利用它。”

也许最大的漏洞在于人类的自满情绪：尽管有十多年的证据表明情况并非如此，但许多人仍然认为智能手机是安全的，将其与信息安全的其他方面区分开来。“一直普遍存在的一种观念是，手机不是传统的终端设备，而且除了极少数例外情况外，它们并未被纳入桌面设备等其他设备的标准和实践中，”iVerify的Cole说，“我们已经过了将移动安全视为小众话题或自制解决方案的阶段，它们需要被纳入任何全面的终端检测和响应策略中。”

我如何知道自己的手机是否被黑了?

担心自己的手机被黑了?我们采访的两位专家建议留意以下危险信号：

ADAMnetworks的CEO David Redekop：

• 如果手机上有未请求的应用程序，要小心。

• 如果安装的应用程序功能简单，它可能是在提供一个有用的功能，同时秘密执行另一个功能。

• 警惕任何权限不是绝对必要的应用程序。例如，除了地图外，通常不需要地理位置权限。

Pixel Privacy的消费者隐私倡导者Chris Hauk：

• 你的设备是否突然开始使用比平时更多的数据，经常达到每月数据限制，而你却没有改变上网习惯?这可能是间谍软件在向“家”发送数据或执行恶意操作。

• 如果你的智能手机开始无缘无故地重启，可能是有人在你的设备上安装了恶意软件或间谍软件。

• 在模拟电话线时代，我们习惯了背景噪音，如嗡嗡声或其他声音泄露到我们的通话中，然而，今天的数字电话网络已经基本消除了这些噪音。如果你听到其他声音或未知声音，可能有人在窃听你的通话。

• 虽然看到设备电池寿命逐年下降只是拥有智能手机的一部分，但电池寿命突然下降可能意味着间谍软件或恶意软件正在让你的设备超负荷工作，在后台运行进程。你的手机工作越努力，电池寿命就越短。你可能会同时经历数据使用量增加的情况。