Jak działają ataki 0‑click?
Mechanizm działania tego typu ataków jest fascynujący i zarazem przerażający. Ich siła tkwi w wykorzystaniu błędów w oprogramowaniu – często w miejscach, które automatycznie przetwarzają dane, zanim użytkownik zdąży je nawet zobaczyć. Może to być moduł wyświetlania podglądu wiadomości, dekoder obrazu lub komponent odpowiedzialny za analizę multimediów. Wystarczy, że atakujący wyśle spreparowaną wiadomość lub plik, a urządzenie samo „otworzy” drogę do swojego wnętrza.
Wyobraźmy sobie, że nasz telefon otrzymuje wiadomość multimedialną. System, chcąc ułatwić nam życie, generuje podgląd treści, zanim ją otworzymy. Jeśli w tym procesie znajduje się niezałatana luka, złośliwy kod może zostać uruchomiony natychmiast. To właśnie sedno ataku 0‑click: wykorzystanie automatyzacji, która miała zwiększać wygodę, a staje się narzędziem do przejęcia kontroli nad urządzeniem.
Kto i dlaczego korzysta z 0‑clicków
Ataki 0‑click to domena podmiotów, które dysponują znacznymi zasobami finansowymi i technologicznymi. Najczęściej są to firmy produkujące oprogramowanie szpiegowskie – tzw. mercenary spyware – współpracujące z rządami lub służbami specjalnymi. Ich produkty, sprzedawane pod pretekstem walki z terroryzmem, bywają wykorzystywane do inwigilowania dziennikarzy, opozycjonistów czy działaczy społecznych.
Drugą grupą są państwowe służby wywiadowcze, które inwestują w opracowanie własnych łańcuchów exploitów 0‑click, aby uzyskać strategiczną przewagę informacyjną. Wreszcie, choć rzadziej, 0‑clicki trafiają również w ręce cyberprzestępców, którzy wykorzystują je do ataków ukierunkowanych na osoby o wysokiej wartości informacyjnej lub finansowej.
Głośne przykłady z 2025 roku
W 2025 roku świat bezpieczeństwa cyfrowego odnotował kilka głośnych kampanii i incydentów związanych z atakami 0‑click. Poniżej każdy z nich opisujemy szerzej - ze wskazaniem, jak dokładnie mogły wyglądać poszczególne etapy ataku oraz jakie techniczne mechanizmy zostały wykorzystane.
Przypadek 1 - Graphite (Paragon Solutions) i ataki wymierzone w dziennikarzy oraz aktywistów
Na początku 2025 roku pojawiły się raporty o kampanii inwigilacyjnej, w ramach której celem stali się dziennikarze i działacze organizacji pozarządowych. Oprogramowanie śledzące nosiło nazwę „Graphite” i zostało powiązane z firmą Paragon Solutions. W praktyce ataki wyglądały następująco: atakujący umieszczali ofiarę w spreparowanej konwersacji grupowej lub wysyłali do niej wiadomość zawierającą specjalnie utworzony dokument PDF lub inny plik.
Technicznie rzecz biorąc, PDF lub inny załącznik nie musiał być „otwierany” przez użytkownika - mechanizmy aplikacji oraz systemu operacyjnego często automatycznie analizują nadchodzące pliki (np. generują miniaturki, indeksują zawartość lub sprawdzają metadane). W tym automatycznym procesie mógł tkwić błąd, który pozwalał spreparowanemu plikowi na wykonanie fragmentu złośliwego kodu. Po uruchomieniu tego kodu spyware (tzn. złośliwe oprogramowanie szpiegujące) instalowało się na telefonie i nadawało napastnikom zdalny dostęp do wiadomości, mikrofonu, kamery, historii połączeń i lokalizacji. Ofiary mogły zostać skompromitowane zupełnie nieświadomie - bez żadnego kliknięcia.
Warto zwrócić uwagę na kilka elementów, które sprawiają, że taki atak jest możliwy i trudny do wykrycia:
- exploit 0‑click często wykorzystuje łańcuch kilku słabych punktów (tzw. exploit chain): jeden błąd umożliwia uruchomienie kodu, drugi utrwalenie dostępu, trzeci eskalację uprawnień,
- atak może być ukierunkowany (tzw. spear‑phishing techniczny): napastnik wybiera konkretne ofiary i dostosowuje payload do ich aplikacji i wersji systemu,
- po instalacji spyware działa ukrycie i może maskować swoje ślady, a przy tym obejść szyfrowanie komunikatorów poprzez dostęp do urządzenia „u źródła”.
Przypadek 2 - luka w Apple Messages wykorzystywana jako 0‑click
Kolejny opisany incydent dotyczył domniemanego wykorzystania luki w aplikacji Messages (systemu Apple). Tutaj schemat działania był podobny: odpowiednio spreparowana wiadomość wysłana do urządzenia była przetwarzana automatycznie przez komponenty systemowe odpowiedzialne za obsługę treści i generowanie podglądów. W trakcie tego procesu błąd w przetwarzaniu treści mógł umożliwić zdalne wykonanie kodu i - w konsekwencji - instalację narzędzia inwigilacyjnego.
Można to też wytłumaczyć obrazowo: wysyłasz komuś zdjęcie lub film - system, by przyspieszyć działanie i umożliwić podgląd, sam zaczyna analizować plik. Jeśli w analizatorze plików znajduje się luka, może on „niespodziewanie” uruchomić program, który zamiast pokazać miniaturkę, otwiera drzwi do wnętrza telefonu. To, co odróżnia ataki 0‑click od zwykłego phishingu, to brak wymaganego działania użytkownika - system sam „wpuszcza” złośliwy kod.
Producent (Apple) zareagował wydaniem aktualizacji systemowej mającej usunąć tę lukę. Taka seria poprawek zwykle obejmuje nie tylko zamknięcie samego błędu, lecz także dodatkowe zabezpieczenia, np. ograniczenie automatycznego przetwarzania niektórych typów treści lub wzmocnienie kontroli uprawnień aplikacji, co zmniejsza okno czasowe, w którym atak może być skuteczny.
Przypadek 3 - podatność w WhatsApp używana w atakach 0‑click
Trzeci przykład łączy elementy aplikacji komunikacyjnej ze słabością protokołu synchronizacji i przetwarzania treści. W praktyce atakujący wykorzystuje lukę po stronie aplikacji komunikatora, która pozwala na przesłanie specjalnego, spreparowanego pakietu danych - wiadomości, linku do zdalnego zasobu lub pliku - a następnie wymusza jego automatyczne przetworzenie przez urządzenie ofiary. W efekcie urządzenie zachowuje się tak, jakby użytkownik świadomie otrzymał i otworzył zainfekowaną treść.
W niektórych wersjach tego ataku napastnik wykorzystywał kombinację słabych punktów: błąd w aplikacji komunikatora + luka na poziomie systemu operacyjnego. Taka kombinacja umożliwiała przeprowadzenie tzw. exploit chain - pierwszy element pozwalał na dostarczenie i uruchomienie złośliwego fragmentu, drugi zapewniał trwały i głęboki dostęp do systemu. Po uzyskaniu kontroli spyware mógł wyodrębniać zaszyfrowane konwersacje już po stronie urządzenia, zanim zostały zaszyfrowane przez algorytm komunikatora.
W reakcji na takie zdarzenia producenci aplikacji (np. WhatsApp) publikują aktualizacje oraz powiadamiają potencjalne ofiary, a także współpracują z zespołami badawczymi, aby przerwać łańcuch ataku i zablokować infrastrukturę wykorzystywaną przez napastników.
Elementy techniczne wspólne dla tych incydentów
Chociaż szczegóły różniły się w zależności od przypadku, większość ataków 0‑click z 2025 r. korzystała z kilku powtarzalnych mechanizmów:
- automatyczne przetwarzanie przychodzących treści (podglądy, indeksowanie) jako wektor wejścia,
- łańcuch exploitów (exploit chain) łączący kilka podatności, by uzyskać trwały dostęp i zwiększyć uprawnienia,
- ukryte, specjalistyczne spyware zdolne do obejścia lub wykorzystania dostępu do urządzenia „u źródła" (przed szyfrowaniem wiadomości),
- działania ukierunkowane na konkretne osoby lub grupy (spear‑targeting), co zwiększa skuteczność i opłacalność ataku.
Skutki i konsekwencje
Skutki udanego ataku 0‑click są dramatyczne. W ciągu kilku sekund napastnik może uzyskać pełen dostęp do urządzenia: wiadomości, zdjęć, kontaktów, mikrofonu, a nawet kamery. Dla użytkownika prywatnego oznacza to utratę prywatności. Dla dziennikarza – zagrożenie źródeł informacji. Dla organizacji – ryzyko wycieku poufnych danych i kompromitację systemów wewnętrznych. Co gorsza, ofiara często nie jest świadoma, że została zaatakowana.
Czy można się przed tym bronić?
Nie istnieje pojedyncze rozwiązanie, które w pełni zabezpieczy przed 0‑clickami, ale istnieją praktyki, które znacznie ograniczają ryzyko. Najważniejsze z nich to aktualizacje – systemów, przeglądarek, komunikatorów. To właśnie dzięki nim luki wykorzystywane przez 0‑clicki są łatanie, zanim staną się bronią. Użytkownicy powinni również ograniczać liczbę aplikacji z szerokimi uprawnieniami, szczególnie tych mających dostęp do mikrofonu, kamery czy lokalizacji. Warto także włączać automatyczne aktualizacje i korzystać z funkcji, które pozwalają blokować nieznane nadawców.
W przypadku organizacji konieczne jest wdrożenie spójnej polityki bezpieczeństwa: szybkiego zarządzania poprawkami, monitorowania anomalii w zachowaniu urządzeń oraz szkolenia pracowników w zakresie reagowania na incydenty. Choć ataki 0‑click trudno wykryć, szybka reakcja może zminimalizować ich skutki.
Wnioski
Ataki 0‑click to cicha, precyzyjna broń współczesnego świata cyfrowego. Pokazują, że nawet najbardziej ostrożny użytkownik może stać się ofiarą, jeśli system, z którego korzysta, zawiera nieznaną lukę. Ich istnienie powinno przypominać nam, że cyberbezpieczeństwo nie jest stanem, lecz procesem – ciągłym wyścigiem między tymi, którzy tworzą zabezpieczenia, a tymi, którzy próbują je obejść. W 2026 roku ten wyścig trwa w najlepsze, a świadomość zagrożeń, takich jak 0‑click, to pierwszy krok, by nie dać się zaskoczyć.
Źródła
- The Guardian, WhatsApp says journalists and civil society members were targets of Israeli spyware, styczeń 2025.
- Raporty Bitdefender i Malwarebytes o lukach w komunikatorach WhatsApp (2025).
- The Hacker News, Apple fixes zero-click exploit in Messages app, czerwiec 2025.
- Citizen Lab, Research on mercenary spyware and zero-click attacks, raporty zbiorcze 2023–2025.
