Hoppa till huvudinnehållet

Vad är nollklicksprogram och hur fungerar nollklicksattacker?

På senare år har nollklicksattacker ibland hamnat i rampljuset. Precis som namnet antyder kräver inte nollklicksattacker att offret gör något – vilket betyder att även avancerade användare kan falla offer för allvarliga cyberattacker och spionverktyg.

Nollklicksattacker är normalt starkt målinriktade och använder sofistikerad taktik. De kan ha förödande konsekvenser utan att offret ens känner till att något är fel i bakgrunden. Termerna ’nollklicksattack’ och ’nollklickssårbarheter’ används ofta som synonymer. De kallas även ibland interaktionslösa eller helt fjärrstyrda attacker.

Vad är nollklicksangrepp?

Traditionellt förlitar sig spionprogram på att övertala måltavlan att klicka på en komprometterad länk eller fil för att installera sig på en telefon, surfplatta eller dator. Men med en nollklicksattack kan programvaran installeras på en enhet utan att offret klickar på någon länk. Därför är nollklicksattacker eller klickfria attacker mycket farligare.

Att nollklicksattacker innefattar mindre interaktion betyder att det finns färre spår av skadlig aktivitet. Detta – och även att de sårbarheter som cyberbrottslingar kan utnyttja för nollklicksattacker är ganska sällsynta – gör dem speciellt eftertraktade av angripare.

Även grundläggande nollklicksattacker lämnar få spår, vilket gör att det är extremt svårt att upptäcka dem. Dessutom är det så att samma funktioner som gör programvaran säkrare ofta kan göra det svårare att upptäcka nollklicksattacker.  Nollklicksattacker har funnits i flera år, och problemet har blivit allt mer spritt med den ökade användningen av smartphones som lagrar stora mängder personuppgifter. I och med att individer och organisationer förlitar sig allt mer på mobila enheter har det aldrig funnits större behov av att hålla sig informerad om nollklicksattacker.

Hur fungerar en nollklicksattack?

Normalt kräver fjärrinfektion av offrets mobila enhet någon form av social manipulation, där användaren klickar på en skadlig länk eller installerar en skadlig app som ger angriparen en ingångspunkt. Detta gäller inte nollklicksattacker, som helt kringgår behovet av social manipulation.

En nollklicksattack utnyttjar sårbarheter i din enhet, och använder sig av ett kryphål i dataverifieringen för att ta sig in i systemet. De flesta typer av programvara använder dataverifieringsprocesser för att hålla cyberattacker borta. Men det finns kvarstående nolldagssårbarheter som inte ännu reparerats, vilka utgör potentiellt lockande mål för cyberbrottslingar. Sofistikerade hackare kan utnyttja dessa nolldagssårbarheter för att utföra cyberangrepp, som kan implementeras utan att du gör något.

Ofta riktar sig nollklicksattacker mot appar som tillhandahåller meddelandefunktioner eller röstsamtal, eftersom dessa tjänster utformats för att ta emot och tolka data från källor som inte är betrodda. Angriparna använder oftast specialformaterade data, till exempel ett dolt textmeddelande eller en dold bildfil, för att injicera kod som skadar enheten.

En hypotetisk nollklicksattack kan fungera så här:

  • Cyberbrottslingar identifierar en sårbarhet i en app för mejl eller snabbmeddelanden.
  • De utnyttjar sårbarheten genom att skicka ett noggrant utformat meddelande till måltavlan.
  • Sårbarheten gör att illvilliga aktörer kan smitta enheten på avstånd via mejl som tar upp stora mängder minne.
  • Hackarens mejl, meddelande eller samtal behöver inte nödvändigtvis vara kvar på enheten.
  • Resultatet av attacken är att cyberbrottslingen kan läsa, redigera, läcka eller ta bort meddelanden.

Hackandet kan bestå av en serie nätverkspaket, autentiseringsbegäran, SMS, MMS, röstbrev, videokonferenssessioner, telefonsamtal eller meddelanden som skickas via Skype, Telegram, WhatsApp och så vidare. Alla dessa kan utnyttja en sårbarhet i programmeringen av ett program som fått i uppgift att behandla dessa data.

Själva faktum att meddelandeappar gör att människor kan identifieras genom sina telefonnummer, som lätt går att lokalisera, gör att de kan utgöra ett uppenbart mål för både politiska enheter och kommersiella hackningsoperationer.

De specifika detaljerna för varje nollklicksattack beror på vilken sårbarhet som utnyttjas. En nyckelegenskap för nollklicksattacker är deras förmåga att inte lämna några spår, vilket gör dem mycket svåra att upptäcka. Detta betyder att det inte är enkelt att identifiera vem som använder dem och i vilket syfte. Men det rapporteras att underrättelsetjänster i hela världen använder dem för att snappa upp meddelanden från misstänkta brottslingar och terrorister och övervaka var de befinner sig.

Nollklicksattacker kan börja med ett till synes harmlöst meddelande eller missat samtal.

Exempel på nollklicksattacker

En nollklicksattack kan påverka olika enheter, allt från Apple till Android. Välkända exempel på nollklicksattacker är bland annat:

Apples nollklick, intrång, 2021:

2021 fick en förkämpe för mänskliga rättigheter i Bahrain sin iPhone hackad av ett kraftfullt spionprogram som säljs till länder. Attacken, som upptäcktes av forskare på Citizen Lab, hade besegrat de säkerhetsåtgärder som Apple satt in för att stå emot dolda intrång.

Citizen Lab är en organisation som övervakar internet, och är baserad vid University of Toronto. De analyserade aktivistens iPhone 12 Pro och upptäckte att den hackats via en nollklicksattack. Nollklicksattacken utnyttjade en tidigare okänd säkerhetslucka i Apple-programmet iMessage. Detta utnyttjades för att installera spionprogrammet Pegasus, som utvecklats av det israeliska företaget NGO Group, till aktivistens telefon.

Hackandet fick stor spridning i media, huvudsakligen för att det utnyttjade det som då var den senaste iPhone-programvaran, både iOS 14.4 och senare iOS 14.6, som Apple släppte i maj 2021. Angreppet tog sig förbi en säkerhetsfunktion i programvaran som byggts in i alla versioner av iOS 14, med namnet BlastDoor, vars syfte var att förhindra den här typen av angrepp på enheten genom att filtrera skadliga data som skickats via iMessage. Eftersom angreppet kunde ta sig igenom BlastDoor, döptes det till ForcedEntry. Som motåtgärd uppgraderade Apple säkerhetsåtgärderna i iOS 15.

WhatsApp-intrång, 2019:

Detta beryktade intrång utlöstes av ett missat samtal, som utnyttjade ett fel i källkoden till WhatsApp. En nolldagssårbarhet – det vill säga en tidigare okänd och okorrigerad cybersårbarhet – gjorde att angriparen kunde ladda upp spionprogram i de data som byttes ut mellan två enheter på grund av det missade samtalet. När det laddats upp aktiverade spionprogrammet sig som en bakgrundsresurs, djupt ned i enhetens programvara.

Jeff Bezos, 2018:

2018 påstås kronprins Mohammed bin Salman av Saudiarabien ha skickat ett WhatsApp-meddelande till Amazons VD Jeff Bezos med en video som gjorde reklam för Saudiarabiens telekommarknad. Det har rapporterats att det fanns en programsnutt i videofilen som gjorde att avsändaren kunde ta emot information från Bezos iPhone under flera månader. Detta resulterade i att man kom över SMS, snabbmeddelanden och mejl, och kanske även kunde tjuvlyssna på inspelningar som gjorts med telefonens mikrofoner.

Project Raven, 2016:

Project Raven är vad man kallar Förenade Arabemiratens offensiva enhet för cyberoperationer, som består av personal från Förenade Arabemiratens säkerhetstjänst och tidigare anställda inom USA:s underrättelsetjänst som arbetar som entreprenörer. De rapporteras ha använt ett verktyg som kallas Karma för att utnyttja en svaghet i iMessage. Karma använde specialdesignade SMS för att hacka sig in i iPhones som tillhörde aktivister, diplomater och utländska ledare för att komma över foton, mejl, SMS och platsinformation.

Hur du skyddar dig mot nollklicksattacker

Eftersom nollklicksattacker inte baseras på att offret gör något, är det inte mycket du kan göra för att skydda dig. Även om det kan kännas skrämmande är det viktigt att komma ihåg att dessa attacker i allmänhet riktas mot ett specifikt offer för spionage eller möjligen för ekonomisk vinning.

Med detta sagt hjälper grundläggande cyberhygien till att maximera din säkerhet online. Rimliga försiktighetsåtgärder di kan vidta är bland annat:

  • Håll operativsystem, fast programvara och program på alla dina enheter uppdaterade enligt uppmaningar.
  • Ladda bara ned program och appar från officiella butiker.
  • Ta bort appar som du inte använder längre.
  • Undvik att ’jailbreaka’ eller ’roota’ din telefon, eftersom detta tar bort skydd som tillhandahållits av Apple och Google.
  • Använd lösenordsskyddet på din enhet.
  • Använd stark autentisering för att komma åt konton, speciellt på kritiska nätverk.
  • Använd starka lösenord – det vill säga långa och unika lösenord.
  • Säkerhetskopiera system regelbundet. System kan återställas om du utsätts för utpressningsprogram, och återställningsprocessen går snabbare om du har en aktuell säkerhetskopia av alla data.
  • Aktivera popup-blockerare eller hindra popup-meddelanden från att visas genom att justera inställningarna i din webbläsare. Bedragare använder ofta popup-meddelanden för att sprida skadlig kod.

Om du använder en heltäckande antiviruslösning hjälper detta dig också att hålla dig säker online. Kaspersky Total Security skyddar dig dygnet runt alla dagar i veckan mot hackare, virus och skadlig kod, och tillhandahåller betalningsskydd och integritetsverktyg som skyddar dig från alla håll. Kaspersky Internet Security for Android skyddar även din Android-enhet.

Relaterade artiklar:

Vad är nollklicksprogram och hur fungerar nollklicksattacker?

Nollklicksspionprogram är en angreppsmetod som inte kräver att användaren gör något. Nollklickssårbarheter, hur en nollklicksattack fungerar och hur du kan skydda dig.
Kaspersky logo

Related articles