近期美國聯邦調查局 FBI 與網路安全與基礎設施安全局 CISA 發布安全警告,揭露俄羅斯情報服務(RIS)旗下的駭客組織,如 UNC5792 與 UNC4221,正針對高價值目標發動精密的社交工程攻擊。這次攻擊的核心目標不再僅是短暫的驗證碼,而是 Signal 通訊軟體的備份恢復金鑰(Backup Recovery Key)。
理解備份恢復金鑰的重要性
在進入技術分析前,我們需要先理解 Signal 的運作機制。Signal 以端到端加密(End-to-End Encryption)著稱,這意味著訊息在傳輸過程中只有發送者與接收者能解密,伺服器端無法讀取內容。然而,為了讓使用者在更換手機時能找回對話紀錄,Signal 提供了備份功能。
備份恢復金鑰就是解開這些備份檔案的唯一鑰匙。如果攻擊者拿到了這把金鑰,他們就可以在另一台設備上還原你的所有備份,從而讀取你的私人對話、群組紀錄,甚至完全接管你的帳號。最危險的是,這把金鑰具有持久性。即使你在同一支手機上重新建立帳號,舊的金鑰在某些情況下依然可能被利用。
攻擊路徑與社交工程手法
這次攻擊並非利用 Signal 的軟體漏洞(Bug),而是利用人的心理漏洞,也就是典型的社交工程(Social Engineering)。攻擊者會偽裝成 Signal 的官方客服,透過應用程式內的消息直接接觸目標。
早期的攻擊手段較為簡單,例如誘騙使用者提供 SMS 驗證碼或帳號 PIN 碼,或是發送偽造的群組邀請連結,將攻擊者的設備偷偷關聯到目標帳號中。
目前的進階手法則更具欺騙性。攻擊者會引導使用者開啟備份功能,並要求使用者將恢復金鑰直接貼在聊天視窗中。為了讓目標信服,他們會採取兩種話術:一種是聲稱正在推行強制性的雙重認證(2FA)更新;另一種則是營造緊迫感,聲稱你的訊息面臨遺失風險,必須透過提供金鑰來進行數據恢復。
技術實務上的影響與風險
對於工程師或安全管理人員來說,這次事件傳達了一個關鍵訊息:加密演算法本身即便強大,但如果金鑰管理(Key Management)環節被繞過,加密將失去意義。
當攻擊者獲取恢復金鑰後,他們能實現的是完整歷史紀錄的獲取,而非僅僅是監控未來的訊息。這種從 追逐一次性驗證碼 到 奪取全量存檔金鑰 的策略轉移,大幅提升了情報蒐集的效率。
應對方案與防禦建議
面對這類攻擊,技術上的修補並非更新 App 版本,而是建立正確的安全意識與操作習慣。
第一,絕對不要在任何聊天視窗中提供恢復金鑰、驗證碼或 PIN 碼。官方客服絕不會透過應用程式內的消息要求你提供這些敏感資訊。
第二,定期檢查關聯設備。進入設定中的 關聯設備(Linked Devices)清單,將所有不認識的設備立即移除。
第三,若懷疑金鑰已外洩,必須立即在設定中 重新產生新金鑰(Generate a new key)。這會使舊金鑰失效,防止攻擊者再次下載未來的備份。但必須意識到,一旦金鑰外洩,在此之前已被下載的備份內容已無法挽回。
總結來說,這次事件再次證明了安全鏈條中最弱的一環往往是人。加密技術保障了傳輸過程,但金鑰的保管則決定了最終的安全性。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。