「零日漏洞」非一般
上周,蘋果公司為其手機、平板及電腦裝置發出緊急安全更新,情況頗為罕見,因為蘋果更新作業版本不足一個月。蘋果並無提供太多資料,但網傳是與兩個已經被積極利用的「零日漏洞」(Zero Day Vulnerability,以下簡稱「零日」)有關,涉及Safari開源架構,敏感資訊有機會透過處理網頁內容而外洩。當然蘋果有絕對理由不公布詳情,因為「零日」一旦公開,黑客就會在漏洞修補之前利用漏洞進行惡意攻擊。安卓系統十月份的安全系統更新亦包含兩個「零日」修補。「零日」在業界並非新事物,但較少受到大眾關注。所謂「零日」是指未為開發者所知的嚴重安全漏洞,多源於程式設計錯誤,或軟體缺陷,惡意入侵者可用作入侵系統或竊取敏感資料,既然未為開發者所知所以沒有任何安全修補。當「零日」被開發商知識後就變成「N日」,N就是推出修補方案的時間。但亦有刻意製造的「零日」。由於漏洞大多屬於無意,因此極難被發現,以致長時間都不被注意到。漏洞之所以稱為「零日」因為若開發人員一旦知悉漏洞,必須即日找出解決方案,「零日」與「N日」之間系統正「中門大開」。所以「零日」攻擊在業界被稱為核武級數碼攻擊。
「零日」背後複雜博弈
單憑描述讀者或許未必意識到「零日」有多大影響,且看實例。21年WhatsApp 曾出現零點擊「零日」,只要撥取WhatsApp電話,黑客就可透過漏洞讀取WhatsApp中的資料及植入惡意程式。由於「零日」影響極大,誰人最先得知變成關鍵,一般情況是在野(in-the-wild)即由坊間發現。各大軟件平台有自己專門組織發掘,亦有學術界參與,以社會責任優先,互相通報,以免被惡意利用。但「零日」有極黑暗的一面。有些被發現後在暗網出售,亦有不良公司出高價收購「零日」用作惡意用途。網傳出WhatsApp零點擊「零日」以170萬美元成交。亦有惡意發掘,網上曾報導中共拼多多軟件利用安卓不同手機品牌的「零日」竊取資料及安裝惡意認識,程式代碼充分反映使用是刻意,指控更經多方證明屬實,包括數碼安全公司Kaspersky。「零日」亦早已登上大國博弈的層面。各大政府的情報機關亦在收集相關資料用作間諜或破壞活動。中共於21年推出法規,規定在中國內運作系統及軟硬件,如果發現有安全漏洞,必須兩日內上報,但不能公開直至漏洞修補。法規給予中共資訊優勢,將「零日」武器化。去年年底微軟就作出警告,中共法規實施後,「零日」一經上報,來自中國黑客利用該漏洞的攻擊隨即飈升,並提供數據作出證明。
減低「零日」攻擊 風險有法
因為「零日」的本質,任何系統及軟件皆可能出現。對於一般用戶,有幾個使用上的習慣可將風險降低。首先是保持作業系統及軟件處於最新狀態。請留意大多數的情況裝置未必會主動通知有更新可用,又或滯後通知,筆者建議每天主動查找更新。若主要裝置不再支援系統或韌體更新,就要積極考慮更換。其次,不需要用戶任何動作而直接入侵系統的「零日」畢竟罕見,只要審慎應對主要動作,包括開啟訊息、電郵或附件,點擊連結,接收語音或視像等可減風險,來歴不明者務必先驗證。其三,手機及其軟件是「零日」重災區,應減少對手機的依賴並將動作轉至電腦。除非別無選擇,不要安裝軟件,避開那些紀錄不良及受極權國家控制的軟件。其四,若裝置有提供,儘量使用非管理員帳戶,當你使用這個帳戶,黑客要入侵系統就要額外突破帳戶權限限制。其五,利用沙盒執行瀏覽器,瀏覽器是電腦裝置的主要資訊出入口,沙盒環境可將其所有內容及執行代碼與裝置的其它環境分開,強化的沙盒更不能取得裝置檔案架構,避免檔案架構外洩。要取得權限及資料先要突破沙盒,多了一層難度。還有一招就是利用防火牆攔截不合規則的傳輸,但這招設定上比較複雜,最好找專業人士協助,否則一個不當設定可令系統面對更大風險。
世上並沒有絕對安全的系統,作為用戶必須高警覺,提升風險認知。當你意識到風險所在,自然會主動研究及查找應對方案,減低資訊威脅的風險。◇
------------------
🏵️《九評》20周年
https://hk.epochtimes.com/category/專題/退黨大潮
🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand