Apple har tillbringat den senaste veckan med att skynda på att utveckla en fix för ett stort säkerhetsbrist som gör att spionprogram kan laddas ner på en iPhone eller iPad utan att ägaren ens klickar på en knapp.

Men hur fungerar sådana "nollklick"-attacker, och kan de stoppas?

Vad är ett "nollklick"-hack?

Spionprogramvara har traditionellt sett förlitat sig på att övertyga den riktade personen att klicka på en länk eller fil för att installera sig själv på sin telefon, surfplatta eller dator.

"Nollklick tar det hotet till nästa nivå", säger John Scott-Railton, seniorforskare vid Citizen Lab, Toronto Universitys cybersäkerhetscenter som upptäckte Apple-felet.

Med en nollklicksattack kan programvaran smyga sig in på enheten utan att personen behöver luras att klicka på länken.

Det ger blivande spioner mycket lättare åtkomst, inte minst i en tid då människor har blivit allt mer försiktiga med att klicka på meddelanden som ser misstänkt ut.

I det här fallet utnyttjade den skadliga programvaran ett hål i Apples iMessage-programvara för att smyginstallera Pegasus, en enormt invasiv mjukvara som i huvudsak förvandlar en telefon till en ficklyssningsenhet.

Anklagelser om att programvaran har använts av regeringar över hela världen för att avlyssna människorättsaktivister, företagsledare och politiker utlöste en global skandal i juli.

Får jag veta om min telefon är infekterad?

Ett enkelt svar:"Nej", sa Scott-Railton.

"Det finns ingenting du kan göra som användare för att skydda dig mot infektion, och ingenting du kommer att se när du är smittad", sa han till AFP.

Det är delvis därför Apple har tagit hotet så allvarligt, sa han.

Scott-Railton uppmanade Apple-användare att installera mjukvaruuppdateringen som släpptes av teknikjätten på måndagen.

Apple tillkännagav en lösning för problemet en knapp vecka efter att Citizen Lab rapporterade det den 7 september.

En fix av denna hastighet är "en sällsynthet, även för ett stort företag", sa Scott-Railton.

Varför är meddelandeappar så sårbara?

Avslöjanden av Apples iMessage-fel kommer efter att meddelandetjänsten WhatsApp upptäckte 2019 att den också hade en sårbarhet med noll klick som användes för att installera Pegasus på telefoner.

Scott-Railton sa att alla sådana appars förekomst innebar att det inte var förvånande att NSO Group, det skandaldrabbade israeliska företaget bakom Pegasus, hade använt dem för att smyga sig in på människors enheter.

"Om du hittar en telefon finns det en god chans att det finns en populär meddelandeapp på den", förklarade han.

"Att hitta ett sätt att infektera telefoner genom meddelandeappar är ett enkelt och snabbt sätt att åstadkomma det du vill."

Det faktum att meddelandeappar tillåter människor att identifieras med sina telefonnummer, som är lätta att hitta, betyder också att det finns ett enormt mål för både nationalstater och kommersiella hackning av legosoldater som NSO, sade han.

Kan sådana hackningar stoppas?

Vivien Raoul, teknisk chef på det franska cybersäkerhetsföretaget Pradeo, sa att upptäckten av iMessage-bristen var "en bra början för att minska infartshamnarna, men det är tyvärr inte tillräckligt för att stoppa Pegasus".

Skadlig programvara kan helt enkelt leta efter andra svagheter i appar som används ofta, som oundvikligen innehåller brister då och då på grund av deras komplexitet, säger experter.

Googles mobiloperativsystem Android och Apples iOS "korrigerar regelbundet ett stort antal sårbarheter", sa Raoul.

NSO, vars rekryter inkluderar tidigare elitmedlemmar av israelisk militär underrättelsetjänst, har enorma egna resurser för att investera i jakten på svaga punkter, samtidigt som hackare också säljer tillgång till dem på den mörka webben.