为什么软件更新会导致网络攻击——以及该怎么办

软件更新对于保持系统运行和修补已知漏洞至关重要，那么它们如何导致网络攻击呢？令人惊讶的是，攻击者、内部威胁甚至最终用户可以通过多种方式将无害的修复变成网络威胁。更新的风险是什么？更重要的是，人们如何保护他们的数据和设备？

软件更新何时会成为安全风险？

有时，发布会引入新功能、新机制或新集成。即使开发人员彻底检查了数千行代码以查找潜在漏洞，他们也难免会忽略一些漏洞。攻击者可以在补丁发布后不久利用这些零日漏洞，让他们有时间攻击最终用户，而团队成员则忙着寻找修复程序。

不完整的修复也会导致类似的结果。大多数人都热衷于阅读补丁说明，因此他们没有意识到可能还有一些漏洞尚未解决。他们的虚假安全感使他们容易受到威胁——尤其是因为攻击者可以阅读更新日志来确定要利用什么。

错误版本很少见，但确实会发生。它们可能会破坏系统或泄露敏感信息，让攻击者有机可乘。当个人过于信任开发人员并对安全措施松懈时，就会发生网络攻击。在美国， 92% 的公司经历过因第三方供应商而引发的网络安全事件。

劫持升级相对少见，但确实会发生。攻击者可以接管原始设备制造商的设备管理系统，或秘密向代码中添加恶意脚本。在这种情况下，他们可以直接将恶意软件注入任何更新其程序的人的设备中。

今年 3 月，微软的一名软件工程师发现有人劫持源代码更新xz Utils（一种在 Linux 生态系统中广泛使用的开源数据压缩器）在操作系统中创建后门。罪魁祸首是贾坦，他是一名孤独的开发人员，在注入恶意软件之前，他通过贡献有用的代码赢得了信任。

这次攻击“非常接近”成功。如果成功，那将是灾难性的，影响全球的 Linux 系统。无线编程（通过无线网络向设备提供补丁）因容易受到这些网络安全事件的影响而臭名昭著，因为它们是通过互联网自动安装的。

为什么更新软件会导致网络攻击？

很多时候，网络攻击都是由用户失误造成的。钓鱼电子邮件可以伪装成软件更新，诱骗毫无戒心的人安装恶意软件，而不是更新应用程序。弹出消息是另一种常见的攻击媒介。他们声称用户使用的是过时的版本或可以通过升级受益。

特别恶意的弹出窗口没有取消按钮，而是显示“立即安装”和“隔夜安装”等选项，诱使用户认为他们别无选择，只能接受。这些虚假版本会注入间谍软件或恶意软件，从而危害目标设备。由于受害者期望安装某些东西，他们最初甚至可能没有意识到自己的错误。

研究人员最近发现伪装成 Android 应用程序的间谍软件使用此策略的木马。此远程访问木马会发送看起来像系统更新的推送通知。如果用户接受，它会窃取他们的位置数据、图像文件、通话记录和联系人列表。它还会使用手机的麦克风进行窃听，并使用摄像头进行间谍活动。

即使升级是合法的，问题仍然可能发生。用户错误（例如集成错误、禁用安全功能和配置错误设置）可能会引入未知漏洞。不法分子喜欢在修复上线后不久发动攻击，因为当人们犯下此类错误时，他们就有机会发动攻击。

实际环境与受控测试有很大不同，因此不可避免地会出现意外漏洞。兼容性问题是这些网络威胁的常见驱动因素。即使不存在零日漏洞，恶意行为者也可以利用用户错误来渗透网络并攻击系统。

安装恶意更新的后果

恶意软件注入是匆忙、不完整、有缺陷或非官方补丁最常见的后果。恶意行为者可以安装勒索软件、键盘记录器、病毒或间谍软件。这让他们可以破坏受害者的设备以换取赎金或监视活动以收集敏感数据。如果他们攻击一家公司，他们可以窃取专有和个人身份信息。

在这些情况下，财务损失很常见。美国数据泄露的平均成本总额创下948万美元的历史新高2023 年，这一数字高于 2022 年的 944 万美元。个人支付的费用较少，因为黑客知道他们的流动性较少，可入侵的设备也较少。然而，他们仍然要花费数百甚至数千美元来恢复数据。

当人们处于事件响应和恢复过程中时，攻击者可能会窃取敏感数据，使他们容易受到身份盗窃、网络钓鱼和后续网络攻击。此外，他们可能不得不关闭导致网络攻击的任何程序或系统，从而导致意外停机或延迟。

为什么用户必须不顾风险进行更新

研究人员花了近 20 年时间，通过跟踪超过 15 万家中大型公司的服务器软件变化，建立了有史以来最大的用户更新数据集。他们发现其中 57% 的组织即使有安全版本可用，仍使用存在严重漏洞的代码。

知道一个简单的修复程序很容易成为网络攻击的载体，一些人会因此而放弃更新。然而，这种做法比其他选择更糟糕。补丁解决了黑客正在积极寻找利用的已知漏洞。它们还通过更新兼容性、处理和功能来确保集成的安全。

尽管新版本可能会引入漏洞或直接危害设备，但拒绝使用它们会带来更严重的网络安全影响。使用旧版本的个人更有可能成为网络犯罪分子的目标，从而导致更频繁、更复杂的攻击——成功的可能性更高。

人们不应该仅仅因为补丁可以保护他们就认为自己是安全的。数字时代的现实是，无论采取什么保护措施，最终都会有人找到漏洞或弱点来利用。这听起来很残酷，但应该令人放心——这意味着软件就像任何其他资产一样。通常情况下，警惕是最好的防御之一。

如何保护数据和设备

由于忽略软件更新不是一种选择，因此个人应该遵循最佳做法并使用他们掌握的所有相关安全工具。

1.关闭自动更新

无线和自动更新为攻击者提供了优势。人们应该关闭这些更新，并在开发人员提供修复程序时更新系统。他们还应该验证服务器的身份并确保其连接已加密，然后再继续。

2. 查看补丁说明

最终用户应持续检查补丁说明、更改日志和代码，以识别潜在的恶意篡改。这种方法还可以让他们了解哪些漏洞得到了解决，哪些没有得到解决，从而消除任何虚假的安全感。

3. 使用默认安全配置

网络安全和信息安全局建议使用默认安全配置改善网络安全态势。这包括使用身份验证措施并将默认密码更改为强密码。

4. 使用多种安全工具

补丁并不能解决所有安全漏洞。俗话说，开发人员发现的每个漏洞都存在另外五个漏洞。设备所有者应安装防火墙、网络监控、多因素身份验证和虚拟专用网络来保护其数据。

5. 从源头更新

默认不信任正在成为一种普遍的网络安全做法。人们应该自动假设任何引导他们访问网站或点击链接的消息都是网络钓鱼。他们应该直接去官方来源获取信息或安装。

保持警惕，保护软件和数据

网络犯罪分子狡猾而狡猾，所以他们会不断发明新的方法来劫持、篡改或毒害补丁。最好的做法是保持警惕和谨慎。遵循最佳实践、利用强大的安全工具和阅读变更日志可能意味着成为网络攻击受害者和保持安全之间的区别。