俄罗斯黑客利用 Signal 的“链接设备”功能监视加密对话

通过Mura在计算机安全

翻译为：

网络安全专家发现，俄罗斯政府支持的攻击者秘密发起黑客活动，劫持 Signal Messenger 账户，实时窃听私人加密对话，这引起了警方的警惕。

在最新发布的调查中，谷歌旗下 Mandiant 部门的安全研究人员警告称，多个俄罗斯高级持续性威胁 (APT) 组织已经开发出一种强大的方法来破坏 Signal 的“链接设备”功能 — — 这是一项关键功能，允许用户在多部手机、平板电脑或计算机之间同步他们的安全消息应用程序。

然而，这种便利正被扭曲成一种危险的武器。通过利用链接的设备，黑客可以无形中窃取受害者的账户并监控他们的加密信息，而无需破坏 Signal 的端到端加密。一旦获得访问权限，每条消息都会直接复制给攻击者——而目标永远不会知道。

黑客的手段是欺骗。受害者被诱骗扫描看起来像合法的 Signal 群组邀请或设备配对说明的恶意二维码。扫描后，攻击者的设备会作为“链接设备”秘密添加到受害者的 Signal 帐户中。

从那一刻起，所有消息（包括发送和接收）都会实时镜像到攻击者的系统中。这绕过了 Signal 的强大加密，因为攻击者现在是授权参与者，不会破解加密，而是偷偷加入对话。

Mandiant 的报告强调：

这次攻击最令人担忧的方面之一是它运作得非常安静。当新设备链接到 Signal 用户帐户时，他们通常不会收到任何明显的警报。这使得黑客可以长期监视而不被发现。

Mandiant 将这种技术描述为“低签名初始访问形式”，这意味着它几乎不会留下任何痕迹。如果不主动检查“链接设备”设置，受害者可能会在几个月甚至更长时间内都不知道他们的私人对话正在被广播给敌对分子。

虽然 Signal 是目前的重点，但 Mandiant 强调，这种类型的链接设备攻击并非 Signal 独有。俄罗斯黑客正在对其他广泛使用的通讯应用程序部署类似的策略，包括 WhatsApp 和 Telegram。

所有这些应用程序都允许多设备同步，并且为了方便起见，该过程通常涉及二维码——这使得它们很容易通过网络钓鱼进行滥用。

攻击者的主要重点似乎是收集高价值个人和团体的情报，其中包括：

在一次特别复杂的行动中，俄罗斯臭名昭著的Sandworm 黑客组织在战场上利用了这种技术。在捕获敌方士兵的手机后，他们将设备连接到敌方基础设施，从而能够实时监视军事通信。

由于这种攻击方法的设计是悄无声息的，因此自我检查至关重要。以下是检测和防止未经授权访问的一些步骤：

定期检查已链接的设备：打开 Signal 应用程序，转到“设置”→“已链接的设备” ，然后仔细检查列表。如果您发现不熟悉的设备，请立即取消链接。

启用屏幕锁定：在手机上使用较长且复杂的密码。这样，如果有人短暂获得物理访问权限，就更难链接设备。

保持更新：始终安装最新版本的 Signal 和其他消息应用程序。更新通常包括可以减少攻击面的安全增强功能。

警惕二维码：即使看似来自可靠来源，也要对意外的二维码保持警惕。扫描前请直接与发送者核实群组邀请。

使用多重身份验证 (MFA)：虽然 Signal 本身不支持链接设备的 MFA，但在智能手机的云备份和帐户上启用双因素身份验证可以提供额外的防御层。

Mandiant 的报告警醒我们，没有一款应用能够免受攻击——尤其是在面对拥有大量资源的国家行为者时。Signal 的端到端加密仍然很强大，但这次攻击利用人类行为和应用的设备同步便利性绕过了加密。

如果您从事敏感职业或居住在存在主动监视威胁的地区，审核您的 Signal 安全设置应该成为一种常规习惯。

安全专家强调警惕是关键：

Signal 的“链接设备”功能的利用标志着国家支持的网络间谍活动令人震惊的演变。与留下痕迹或破坏系统的恶意软件不同，这种方法悄无声息地运行，融入幕后，同时将敏感对话传送给俄罗斯情报机构。

搜索