"Zero click": De vet allt – utan att du tryckt på något

Zero-click: Inget klick krävs – full kontroll ändå

Zero klick-attacker är nästa generations subtila, mobila cyberhot. Till skillnad från traditionella phishing-försök kräver de ingen interaktion från användaren. Istället utnyttjas sårbarheter i PDF-bilagor och bilder.

“Processerna som tar emot och hanterar dessa filer har sårbarheter som angripare kan utnyttja för att infektera telefonen,” förklarar Rocky Cole i en intervju med ZDNet.

Ett omtalat exempel är spionprogrammet Graphite, från Paragon Solutions, som distribuerades i form av en till synes oskyldig PDF via WhatsApp till civila tjänstemän i över 20 länder. Avsändarna fick tillgång till meddelanden i WhatsApp och Signal utan användarnas vetskap.

Till exempel drabbades italienska aktivister som räddade migranter i Medelhavet, vilket väckte stor uppmärksamhet och kritik både i Italien och internationellt, berättar The Guardian.

Regeringen Meloni nekar till att italienska underrättelsetjänster skulle vara inblandade i attackerna, men svarar inte på om de har köpt eller använt Paragons tjänster.

Cole uppger att iVerify sett flera krascher i WhatsApp som tyder på att den här typen attacker är betydligt mer utbredda än vad som hittills rapporterats.

Avancerad teknik i fel händer – hotar demokratin

Zero-click-tekniken är utvecklad för stater och regeringar, i syfte att användas för brottsbekämpning och avancerat underrättelsearbete. Men de rör sig i en gråzon och har ofta visat sig användas för mindre hedervärda uppdrag, som att övervaka journalister, människorättsaktivister och oppositionella – även om detta strider mot användarvillkoren.

Dessutom börjar verktygen spridas till den privata marknaden där de i fel händer kan göra stor skada. Enligt ZDNet-artikeln har ett kommersiellt ekosystem vuxit fram kring mobil spionmjukvara som nu utvecklas och säljs globalt och backas av riskkapital. Paragon Solutions, som utvecklat Graphite, backas exempelvis av det amerikanska riskkapitalbolaget AE Industrial Partners.

Detta ökar risken för att även vanliga användare eller företag drabbas. Det kan handla om allt från industrispionage och förlust av företagshemligheter till utpressning.

Enligt Rocky Cole är gränsen mellan legitim användning och missbruk av spionmjukvara extremt tunn och det saknas internationella regler och tillsyn.

”Världen är helt oförberedd på att hantera detta”, varnar han.

Kina förnekar cyberattacker

I USA är kinesiskt spionage och förekomsten av kinesiska komponenter i kritisk teknisk infrastruktur stora orosmoment. Kinesiska bolag har visserligen börjat fasas ut, men har fortfarande viss närvaro.

Enligt amerikansk underrättelsetjänst använder Kina ett brett spektrum av digitala verktyg – från AI till desinformation och övervakning – för att vinna strategiska fördelar. Zero klick-angreppen skulle vara en av teknikerna i raden.

Kina förnekar dock alla anklagelser om cyberattacker. Enligt landets utrikesdepartement är det i själva verket USA som bedriver storskaligt cyberspionage och använder säkerhetsargument för att blockera kinesisk teknik, rapporterar Fortune.

Uppkopplade stegräknare och Barbiedockor

Under året har amerikanska myndigheter lanserat ett nytt program med en så kallad “cyber trust mark”, en märkning för uppkopplade enheter som uppfyller federala säkerhetskrav. 

Men varken konsumenter eller beslutsfattare bör slappna av, menar Snehal Antani, tidigare teknikchef för Pentagon’s Joint Special Operations Command, numera vd för cybersäkerhetsföretaget Horizon3.ai.

Även om de flesta mobiler och surfplattor levereras med säkerthetskydd och operatörerna har rutiner för att hantera integritet, saknar många appar och andra uppkopplade enheter den säkerhetsnivå som krävs.

Varje uppkopplad stegräknare, babymonitor eller smart hushållsapparat kan bli en potentiell inkörsport för hackare som vill ta sig in i nätverk, stjäla information eller sprida skadlig kod.

“De hittar bakdörrar i Barbiedockor,” säger Antani, med hänvisning till forskare som har lyckats hacka mikrofonen i en digitalt uppkopplad version av leksaken.

Säkerheten faller på användaren

Mobila enheter kan köpa aktier, styra drönare och driva kraftverk och säkerheten har svårt att hinna med. Politikers och höga tjänstemäns telefoner är särskilt utsatta eftersom de innehåller känslig information.

Läckor beror dock inte alltid på tekniken, utan kan också bero på slarv. Som när en tidigare säkerhetsrådgivare i Trumpadministrationen oavsiktligt bjöd in fel person till en krypterad chatt där militära planer diskuterades.

Eller när en bedragare utgav sig för att vara Trumps stabschef Susie Wiles, och tog kontakt med guvernörer, senatorer och företagsledare via sms och telefon.

Det är oklart hur, men enligt The Wall Street Journal verkar angriparen ha kommit över kontakterna i hennes privata mobiltelefon. Meddelandena och samtalen kom dock inte från Wiles eget nummer.

Oavsett hur tekniken utvecklas, om användarna inte följer grundläggande säkerhetsrutiner är risken stor att känslig information läcker ut. Med fara för allt från individer och företag till rikens säkerhet.

Läs även: EU varnar för cyberkatastrof. Bygger upp försvar. Dagens PS