摘要

美國CISA針對商業間諜軟體鎖定即時通訊應用程式用戶發布警報,更新行動通訊最佳實務指引,強調端對端加密、FIDO MFA與停用SMS驗證的重要性。

詳細內容

2026年2月24日,美國網路安全和基礎設施安全局(CISA)針對不斷升級的網路間諜活動發布警報《Spyware Allows Cyber Threat Actors to Target Users of Messaging Applications》,並同步更新《Mobile Communications Best Practice Guidance》(行動通訊最佳實作指引)。

威脅情境

CISA指出,多個網路攻擊者正積極利用商業間諜軟體(commercial spyware),鎖定即時通訊應用程式的使用者。這些攻擊者透過高度複雜的目標鎖定手法與社交工程技術部署間諜軟體,從而:

  • 未經授權存取受害者資料
  • 植入惡意程式
  • 危害行動裝置的安全
  • 監控通訊內容與聯絡人資訊

攻擊手法

CISA觀察到攻擊者主要使用以下策略:

1. 帳戶盜用(Account Takeover)

透過網路釣魚(phishing)和惡意QR Code誘導用戶將帳戶連結到攻擊者控制的設備。

攻擊流程

  • 受害者掃描惡意QR Code(偽裝為「登入新裝置」或「安全驗證」)
  • 帳戶被連結到攻擊者的設備
  • 攻擊者可接收受害者的所有訊息與通話

目標應用程式:WhatsApp、Telegram、Signal等支援多裝置登入的通訊軟體

2. 零點擊漏洞攻擊(Zero-click Exploits)

無需使用者採取任何行動,攻擊者即可在設備中植入惡意軟體。

技術特徵

  • 利用通訊軟體或作業系統的漏洞
  • 透過傳送特製訊息觸發漏洞
  • 受害者無需點擊或開啟任何內容

著名案例

  • Pegasus間諜軟體利用iMessage零點擊漏洞(CVE-2021-30860)
  • WhatsApp零點擊漏洞(CVE-2019-3568)

3. 偽裝應用程式(Fake Apps)

偽冒Signal、WhatsApp等知名通訊應用程式,誘騙使用者下載含有惡意程式碼的偽冒版本。

散播途徑

  • 第三方應用程式商店
  • 釣魚網站(假冒官方下載頁面)
  • 社交工程訊息(「官方推薦更新版本」)
  • 搜尋引擎廣告(偽冒官網)

惡意功能

  • 竊取通訊錄與訊息內容
  • 擷取螢幕與鍵盤輸入
  • 上傳檔案到攻擊者伺服器
  • 作為跳板攻擊其他聯絡人

防護建議

CISA更新的指引強化端點與加密通訊的防護措施,提出三大類關鍵安全措施:

一、行動通訊安全最佳實務

1. 落實端對端加密(E2EE)

僅使用具備端對端加密技術的通訊工具,確保訊息在傳輸過程中無法被攔截與解密。

推薦應用程式

  • Signal(預設E2EE)
  • WhatsApp(預設E2EE)
  • iMessage(預設E2EE)
  • Telegram Secret Chat(需手動啟用)

避免使用

  • 未加密的SMS/MMS
  • 企業即時通訊工具(若未啟用E2EE)
  • 中國通訊軟體(WeChat、QQ等,已知有後門)

2. 謹慎評估應用程式隱私政策

選擇通訊軟體時,務必檢視該應用程式及其相關服務對資料收集的範圍與內容。

檢查重點

  • 是否收集聯絡人資訊
  • 是否記錄通話元數據(metadata)
  • 資料儲存位置與司法管轄權
  • 是否與第三方分享資料
  • 是否回應政府資料請求

3. 優先採用高安全性平台

建議使用預設提供E2EE的即時通訊應用程式,避免需要手動啟用加密的工具。

4. 對系統警示保持高度警戒

特別是要求「重新驗證身分」或「連結新裝置」的提示,這往往是攻擊者試圖劫持帳號的常見手法。

可疑情境

  • 未預期的「新裝置登入」通知
  • 要求重新輸入密碼或驗證碼
  • QR Code掃描請求(非自己發起)
  • 應用程式要求重新安裝或更新(來自非官方管道)

二、強化身分驗證機制

1. 導入防釣魚的多因子驗證(MFA)

啟用基於FIDO標準的MFA機制,防範釣魚攻擊。

FIDO標準優勢

  • 基於公開金鑰加密,無法被釣魚
  • 綁定特定網域,假冒網站無法觸發驗證
  • 不依賴可攔截的SMS或電子郵件

2. 優先採用實體安全金鑰

強烈建議使用硬體型FIDO安全金鑰,FIDO密碼密鑰(Passkey)亦為可接受的替代方案。

推薦產品

  • YubiKey(Yubico)
  • Google Titan Security Key
  • Feitian ePass FIDO2

Passkey支援

  • Apple Passkeys(iOS 16+、macOS Ventura+)
  • Google Password Manager Passkeys
  • 1Password、Bitwarden等密碼管理器

3. 限縮核心帳號驗證途徑

針對Microsoft、Apple和Google等核心帳戶,在啟用硬體金鑰後,應主動停用其他安全性較低的MFA形式。

設定步驟

  1. 註冊FIDO安全金鑰(至少2把備用)
  2. 測試安全金鑰登入
  3. 移除SMS驗證、驗證器應用程式等次要方法
  4. 僅保留安全金鑰作為第二因子

三、停用簡訊(SMS)雙重驗證

1. 避免使用SMS作為第二因子驗證

由於簡訊傳輸並未加密,攻擊者可輕易:

  • 攔截簡訊:透過SS7漏洞或電信業者內部人員
  • 讀取驗證碼:惡意應用程式讀取SMS內容
  • SIM卡交換攻擊(SIM Swapping):說服電信業者將號碼移轉到攻擊者的SIM卡

2. 移除舊有弱點

在帳戶註冊了更安全的身分驗證器或FIDO MFA後,應立即至設定中「停用」SMS驗證,避免其成為攻擊者降級攻擊的破口。

降級攻擊情境

  • 攻擊者進入「忘記密碼」流程
  • 系統詢問驗證方式:安全金鑰或SMS
  • 攻擊者選擇SMS,透過SIM Swapping取得驗證碼
  • 成功重設密碼並接管帳戶

特定平台安全措施

CISA指引亦提供針對iPhone與Android使用者的特定安全強化措施(詳見《Mobile Communications Best Practice Guidance》):

iPhone使用者

  • 啟用「Lockdown Mode」(鎖定模式)— 限制訊息附件、網頁功能,防範零點擊攻擊
  • 僅從App Store下載應用程式
  • 啟用「Stolen Device Protection」
  • 定期更新iOS與應用程式

Android使用者

  • 僅從Google Play下載應用程式
  • 啟用「Google Play Protect」
  • 避免安裝第三方應用程式市場
  • 定期更新Android與應用程式

相關指標

  • 警報名稱:Spyware Allows Cyber Threat Actors to Target Users of Messaging Applications
  • 指引名稱:Mobile Communications Best Practice Guidance
  • 發布機構:美國CISA
  • 發布日期:2026年2月24日
  • 威脅類型:商業間諜軟體、零點擊漏洞、社交工程
  • 目標平台:即時通訊應用程式(Signal、WhatsApp、Telegram等)

受影響對象

  • 高風險群體
    • 政府官員、外交人員
    • 記者、人權工作者
    • 企業高層、研發人員
    • 法律從業人員
  • 一般使用者:所有即時通訊應用程式使用者

附註

  • 資料來源:台灣TWCERT/CC、美國CISA
  • 商業間諜軟體背景
    • NSO Group的Pegasus
    • Candiru的Sherlock
    • Cytrox的Predator
    • 這些工具通常販售給政府機構,但也可能被濫用
  • 零點擊漏洞價值:在黑市,iOS零點擊漏洞可價值數百萬美元
  • SIM Swapping案例:Twitter創辦人Jack Dorsey、加密貨幣投資者等均曾遭受此類攻擊