Πώς οι χάκερ μπορούν να ελέγξουν το τηλέφωνό σας χωρίς να πατήσετε απολύτως τίποτα

Το 2025, οι περισσότεροι άνθρωποι είναι αχώριστοι από τα laptops και τα smartphones τους, με την καθημερινότητά τους να εξαρτάται από αυτές τις συσκευές. Ωστόσο, μαζί με την οικειότητα έχει αναπτυχθεί και η επιφυλακτικότητα για τους κινδύνους που κρύβουν τα ανεπιθύμητα email, SMS ή μηνύματα στο WhatsApp. Τώρα, μια νέα και ολοένα αυξανόμενη απειλή, γνωστή ως επιθέσεις μηδενικού κλικ (zero-click attacks), έρχεται να ανατρέψει την αίσθηση ασφάλειας, βάζοντας στο στόχαστρο όχι μόνο υψηλά ιστάμενους ή πλούσιους, αλλά δυνητικά οποιονδήποτε χρησιμοποιεί συνδεδεμένη συσκευή.

Οι επιθέσεις μηδενικού κλικ αποτελούν έναν εξελιγμένο τύπο κυβερνοεπίθεσης που δεν απαιτεί καμία ενέργεια από τον χρήστη, όπως το κλικ σε έναν σύνδεσμο ή το άνοιγμα ενός αρχείου. Αρκεί η λήψη ενός μηνύματος, μιας κλήσης ή ενός αρχείου για να παραβιαστεί μια συσκευή. Οι επιτιθέμενοι εκμεταλλεύονται κρυφά τρωτά σημεία σε εφαρμογές ή λειτουργικά συστήματα, αποκτώντας πλήρη έλεγχο της συσκευής χωρίς ο χρήστης να αντιληφθεί το παραμικρό.

«Αν και η ευαισθητοποίηση του κοινού έχει αυξηθεί πρόσφατα, αυτές οι επιθέσεις εξελίσσονται σταθερά εδώ και χρόνια, γίνοντας πιο συχνές καθώς τα smartphones και οι συνδεδεμένες συσκευές πολλαπλασιάζονται», δήλωσε στην εφημερίδα The Epoch Times ο Nathan House, διευθύνων σύμβουλος της StationX, μιας βρετανικής πλατφόρμας εκπαίδευσης στην κυβερνοασφάλεια. «Η κύρια ευπάθεια βρίσκεται στο λογισμικό, όχι στον τύπο της συσκευής, πράγμα που σημαίνει ότι κάθε συνδεδεμένη συσκευή με εκμεταλλεύσιμες αδυναμίες μπορεί να γίνει στόχος», πρόσθεσε.

Οι επιθέσεις μηδενικού κλικ ήταν μέχρι πρότινος προνόμιο στόχων υψηλού προφίλ, όπως πολιτικοί, δημοσιογράφοι ή επιφανείς επιχειρηματίες, λόγω του υψηλού κόστους και της πολυπλοκότητας της ανάπτυξής τους. Ο Aras Nazarovas, ερευνητής ασφάλειας πληροφοριών στο Cybernews: «Η εύρεση τέτοιων ευπαθειών είναι δύσκολη και δαπανηρή. Συνήθως, αυτά τα exploits χρησιμοποιούνται για την απόκτηση πληροφοριών από σημαντικά πρόσωπα, όπως πολιτικούς ή δημοσιογράφους σε αυταρχικά καθεστώτα. Χρησιμοποιούνται σε στοχευμένες εκστρατείες, ενώ η χρήση τους για κλοπή χρημάτων είναι σπάνια».

Ένα χαρακτηριστικό παράδειγμα ήρθε στο φως τον Ιούνιο του 2024, όταν το BBC ανέφερε ότι η πλατφόρμα TikTok παραδέχτηκε ότι ένας «πολύ περιορισμένος» αριθμός λογαριασμών, περιλαμβανομένων αυτών του CNN, παραβιάστηκαν. Αν και η ByteDance, ιδιοκτήτρια του TikTok, δεν επιβεβαίωσε τη φύση της επίθεσης, εταιρείες κυβερνοασφάλειας όπως η Kaspersky και η Assured Intelligence υπέδειξαν ότι πιθανότατα προκλήθηκε από exploit μηδενικού κλικ.

«Η πολυπλοκότητα έγκειται στην εύρεση σφαλμάτων που επιτρέπουν τέτοιες επιθέσεις και στη δημιουργία exploits για αυτά τα σφάλματα», εξήγησε ο Nazarovas. «Πρόκειται για μια αγορά δισεκατομμυρίων εδώ και χρόνια, όπου οι μεσολαβητές στην γκρίζα/σκοτεινή αγορά προσφέρουν από 500.000 έως 1 εκατομμύριο δολάρια για τέτοιες αλυσίδες exploits για δημοφιλείς συσκευές και εφαρμογές».

Η υπόθεση Pegasus και η σκοτεινή αγορά spyware

Οι επιθέσεις μηδενικού κλικ δεν είναι καινούργιο φαινόμενο. Η πιο διαβόητη περίπτωση ήταν η υπόθεση του λογισμικού Pegasus, που αναπτύχθηκε από την ισραηλινή εταιρεία NSO Group. Τον Ιούλιο του 2021, ο Guardian και 16 ακόμα ΜΜΕ δημοσίευσαν σειρά άρθρων, αποκαλύπτοντας ότι ξένες κυβερνήσεις χρησιμοποίησαν το Pegasus για να παρακολουθήσουν τουλάχιστον 180 δημοσιογράφους και άλλους στόχους παγκοσμίως, συμπεριλαμβανομένων του Γάλλου προέδρου Εμανουέλ Μακρόν, του Ινδού ηγέτη της αντιπολίτευσης Ραχούλ Γκάντι και του δημοσιογράφου της Washington Post Τζαμάλ Κασόγκι, που δολοφονήθηκε στην Κωνσταντινούπολη το 2018.

Η NSO Group δήλωσε τότε ότι η τεχνολογία της «δεν συνδέεται με κανέναν τρόπο με τη φρικτή δολοφονία του Κασόγκι». Ωστόσο, στις 6 Μαΐου 2025, δικαστήριο στην Καλιφόρνια επιδίκασε αποζημίωση 444.719 δολαρίων και πρόστιμο 167,3 εκατομμυρίων δολαρίων στη Meta, μητρική εταιρεία του WhatsApp, σε υπόθεση απορρήτου εναντίον της NSO Group. Η αγωγή επικεντρωνόταν στο Pegasus, το οποίο, σύμφωνα με τη δίκη, σχεδιάστηκε για να εγκαθίσταται εξ αποστάσεως και να παρέχει πρόσβαση σε κλήσεις, μηνύματα και τοποθεσία σε συσκευές Android, iOS και BlackBerry.

Η αγορά για exploits μηδενικού κλικ έχει εξελιχθεί σε βιομηχανία δισεκατομμυρίων, με κρατικούς παράγοντες και καλά χρηματοδοτούμενες ομάδες να πρωτοστατούν. Ο House σημείωσε ότι οι επιθέσεις αυτές στοχεύουν συνήθως ευπάθειες σε λογισμικό και εφαρμογές, η εύρεση των οποίων είναι δαπανηρή. «Οι δράστες είναι συνήθως κρατικοί παράγοντες ή ομάδες με υψηλή χρηματοδότηση», είπε.

Παρά τις πρόσφατες εξελίξεις στην τεχνητή νοημοσύνη, που έχουν ενισχύσει εγκλήματα όπως η κλωνοποίηση φωνής, ο Nazarovas τόνισε ότι δεν υπάρχουν ακόμα στοιχεία ότι η τεχνητή νοημοσύνη έχει αυξήσει τον κίνδυνο επιθέσεων μηδενικού κλικ. Ωστόσο, ο House ανέφερε ότι η τεχνητή νοημοσύνη θα μπορούσε να χρησιμοποιηθεί για τη δημιουργία αλυσίδων exploits από άτομα που δεν διαθέτουν την εμπειρία ή τον χρόνο για να το κάνουν μόνοι τους. «Η αύξηση των επιθέσεων μηδενικού κλικ τα τελευταία χρόνια οφείλεται κυρίως στην επέκταση της αγοράς spyware και τη μεγαλύτερη διαθεσιμότητα εξελιγμένων exploits, παρά σε τεχνικές που βασίζονται στην τεχνητή νοημοσύνη», πρόσθεσε.

Πώς μπορούμε να προστατευτούμε;

Η άμυνα έναντι των επιθέσεων μηδενικού κλικ είναι «πρόκληση», σύμφωνα με τον House, αλλά υπάρχουν απλά βήματα που μπορούν να μειώσουν τον κίνδυνο:

• Ενημέρωση λογισμικού και συστημάτων: Οι χρήστες πρέπει να διατηρούν τις συσκευές τους ενημερωμένες με τις τελευταίες εκδόσεις λογισμικού.
• Τακτική επανεκκίνηση συσκευών: Μια επανεκκίνηση μπορεί να διακόψει ορισμένες κακόβουλες διαδικασίες.
• Χρήση ενισχυμένων λειτουργιών ασφαλείας: Λειτουργίες όπως η «Lockdown Mode» της Apple μπορούν να προστατεύσουν υψηλού κινδύνου χρήστες.

Ο Nazarovas επεσήμανε ότι μεγάλες τεχνολογικές εταιρείες, όπως η Apple, η Google και η Microsoft, συλλέγουν τηλεμετρικά δεδομένα από δισεκατομμύρια συσκευές για να εντοπίσουν τέτοιες επιθέσεις. «Όταν εντοπίζονται ευπάθειες, μπορούν να διορθωθούν γρήγορα και να διανεμηθούν σε δισεκατομμύρια χρήστες μέσω αυτόματων ενημερώσεων», είπε.

Παρά τις προφυλάξεις, ο House προειδοποιεί ότι «εξαιρετικά εξελιγμένες επιθέσεις, όπως αυτές από προηγμένους κρατικούς αντιπάλους, μπορούν να παρακάμψουν ακόμα και τις πιο ισχυρές άμυνες».

Μια κλιμακούμενη απειλή

Αν και οι απλοί χρήστες σπάνια αποτελούν κύριους στόχους, μπορεί να γίνουν «παράπλευροι στόχοι», ιδιαίτερα αν οι πληροφορίες τους θεωρηθούν πολύτιμες. Ο Nazarovas σημείωσε ότι οι εταιρείες προσφέρουν προγράμματα bug bounties, ανταμείβοντας χάκερ που ανακαλύπτουν και αναφέρουν ευπάθειες, αντί να τις πουλήσουν σε μεσολαβητές της σκοτεινής αγοράς.

Οι επιθέσεις μηδενικού κλικ αντιπροσωπεύουν μια νέα εποχή στον κόσμο της κυβερνοασφάλειας, όπου η αόρατη απειλή μπορεί να χτυπήσει χωρίς προειδοποίηση. Καθώς η τεχνολογία εξελίσσεται, η ευαισθητοποίηση και η προληπτική προστασία παραμένουν τα πιο ισχυρά όπλα των χρηστών. Η υπόθεση Pegasus και οι πρόσφατες παραβιάσεις υπενθυμίζουν ότι η ψηφιακή μας ασφάλεια απαιτεί συνεχή επαγρύπνηση, σε έναν κόσμο όπου ακόμα και η παραμικρή επαφή με ένα μήνυμα μπορεί να αποβεί μοιραία.