所谓“零点击攻击”（Zero-click），指的是攻击者无需任何用户交互就能攻破设备。只需一条特制短信、一个推送、甚至用户看都没看到的WhatsApp消息，就能触发系统漏洞、注入恶意代码。

以NSO集团的飞马软件（Pegasus）为代表的“商业间谍软件公司”（CSV）已形成黑产生态，将这种攻击技术打包销售给政府、执法机构或犯罪组织。KnowBe4安全专家Roger Grimes指出，2023年，手机领域的大多数“零日漏洞”都是由CSV发现并用于此类攻击。

最危险的是，这些攻击利用缓冲区溢出等古老却有效的漏洞触发，只要后台处理信息的程序被“命中”，恶意代码就会启动。“你什么都没做，但攻击已经发生。”Grimes警告。

最简单也是最普遍的攻击方式是“让用户自己开门”。诈骗短信、钓鱼链接、假客服，这些熟悉的场景正是“社会工程攻击”的体现。

Kuma分析师Catalino Vega指出，移动应用权限的弹窗机制，反而助长了用户对“确认”按钮的麻木。“当一款看起来正常的应用请求访问你的相册、麦克风甚至联系人时，大多数人不会思考就点了允许。”

PolyguardCEOJoshua McKenty指出，AI技术正在让社工攻击更难防范。深度伪造、个性化短信、冒充好友发红包，这些行为背后越来越可能是脚本控制的AI。

别小看你在APP里刷到的广告，它可能是黑客的入口。恶意广告通过正规广告网络注入伪装代码，当你点击弹窗或跳转，就可能触发下载。

虽然近年来广告平台强化了过滤机制，Polyguard技术总监Khadem Badiyan认为这类攻击“已过高峰期”。但Google在2024年就拦截了超过51亿条恶意广告，表明此类手法仍未消亡。

短信钓鱼是一种专门依赖短信渠道的社工攻击。攻击者会冒充快递、银行或社保中心，诱导用户点击恶意链接，下载木马或提交个人信息。

WireCRORasmus Holst解释，攻击者常利用受害者对权威机构的信任，“老板催你看文件”这种伪装往往极具欺骗性。近期甚至出现了绕过iOS防钓鱼机制的攻击方式，比如利用GoogleAMP、空子域名漏洞等来混淆URL。

在安卓和越狱iOS设备上，攻击者通过发布仿冒应用，诱骗用户自行安装恶意代码。

著名杀软McAfee就曾被黑客冒用名称，在Play Store上线假App，实则在后台收集用户的银行信息。iVerify的Rocky Cole指出，尽管现代iOS几乎不存在“越狱攻击”，但Android依然容易被“侧载”应用绕过安全机制。

攻击者可以伪装成你本人，联系运营商申请“换卡”，实施“SIM卡交换”攻击。一旦成功，你的短信、通话、验证码全都会被他们接管。银行卡、社交账号乃至企业系统，从此向他们大开方便之门。

这种攻击在名人、富豪和企业高管中频繁发生，媒体爆出的“SIM Swap骗局”早已不是新鲜事。

如果攻击者能接触到你的手机，攻击就简单多了：几秒钟内安装FlexiSPY、mSpy等间谍软件，就能监听你的对话、读取信息、甚至远程打开摄像头和麦克风。

更隐蔽的是通过充电线、USB设备或植入式配件注入后门。Polyguard团队指出，即便是iOS用户，也要警惕“配置描述文件”可能携带恶意代码。

GoUpSec安全专家建议手机用户注意以下异常迹象：

• 设备异常发热或电池续航时间突然变短。

• 出现未知应用或应用请求过多权限。

• 收到陌生短信或通话。

• 数据使用量异常增加。

• 通话背景异常噪音，可能被监听。

如果发现上述情况，建议立即检查设备安全设置，卸载可疑应用，并考虑重启并恢复

Coalfire应用安全负责人Caitlin Johanson指出，攻击者能读取SQLite缓存、浏览器cookie、应用数据快照等信息，轻松获取认证信息与敏感文件。而这一切，只需要一次权限提升。

Lookout安全总监Hank Schless总结得最直接：“攻击者用自动化模型不断测试每一个系统版本、每一个APP权限，直到找到漏洞，然后迅速武器化利用。”

iVerify联合创始人Cole一针见血指出，很多组织今天仍未将手机视作“端点”，依然没有纳入端点检测和响应体系（EDR）之中。这种思维上的落后，才是真正的漏洞。

“我们早已过了‘手机安全是边缘议题’的时代。”Cole说，“你口袋里的小屏幕，早就是攻击者的核心目标。”

• 沈传宁：落实《网络数据安全管理条例》，提升全员数据安全意识