2016年移動(dòng)安全趨勢(shì)及威脅預(yù)測(cè)
2015年已經(jīng)過(guò)去,這一年間發(fā)生了很多令我們很震驚的事件,透過(guò)這些大事件和漏洞,我們可以預(yù)測(cè)一下2016年移動(dòng)安全趨勢(shì)和可能存在的安全威脅。
1. 恐怖威脅
巴黎恐怖襲擊事件雖然已經(jīng)過(guò)去1個(gè)月,但人們恐慌的表情依然歷歷在目,猜想恐怖襲擊可能會(huì)在2016年蔓延至移動(dòng)安全領(lǐng)域。未來(lái)像Telegram和Redphone之類的通信應(yīng)用將使用端對(duì)端的加密躲避通信竊聽(tīng)行為,但我們的團(tuán)隊(duì)還是發(fā)現(xiàn)了一些被網(wǎng)絡(luò)犯罪分子用于通信的應(yīng)用。
我們預(yù)測(cè)恐怖主義者會(huì)利用主要的媒體網(wǎng)站,如利用YouTube視頻隱藏?cái)?shù)據(jù)。特殊頻率的音頻是不會(huì)被一般用戶聽(tīng)到或者理解的,但可以通過(guò)特殊的監(jiān)聽(tīng)程序破譯。
2. 移動(dòng)支付服務(wù)將是下一個(gè)重點(diǎn)目標(biāo)
基于黑帽大會(huì)上通道雜音的研究,也預(yù)示著2016年移動(dòng)支付平臺(tái)(蘋果支付或者三星支付)很可能會(huì)被黑客攻破。這種事情很可能發(fā)生,可能不會(huì)完全入侵他們的支付操作算法,但通過(guò)對(duì)整個(gè)系統(tǒng)的分析我們發(fā)現(xiàn)了一些繞過(guò)策略和漏洞,可導(dǎo)致信用卡信息偽造、敲詐勒索、未授權(quán)使用。并且我們已經(jīng)知道怎樣將偷來(lái)的信用卡信息成功添加到蘋果支付賬戶中而且不需要銀行的驗(yàn)證,詐騙者可以用偷來(lái)的信用卡信息在傳統(tǒng)的商店中進(jìn)行消費(fèi)。
存在這種問(wèn)題的企業(yè)不止蘋果和三星兩家,像Venmo這種端對(duì)端移動(dòng)支付應(yīng)用使用的簡(jiǎn)單支付匯款流程會(huì)更加容易被黑客攻擊。
3. 手機(jī)瀏覽器攻擊更加頻繁
移動(dòng)版本的chrome、Firefox、Safari以及與andriod和iPhone相關(guān)核心程序?qū)?huì)是接下來(lái)幾個(gè)月內(nèi)黑客攻擊的重點(diǎn)。通過(guò)瀏覽器入侵手機(jī)是目前入侵整個(gè)手機(jī)最為有效的方式,因?yàn)楹诳屠脼g覽器漏洞可以繞過(guò)許多系統(tǒng)級(jí)別的安全防護(hù)策略。舉例如下:
(1)基于Webkit 的exp可繞過(guò)瀏覽器沙盒,或者瀏覽器內(nèi)置的安全策略。
(2)安卓操作系統(tǒng)中的Stagefright漏洞,一條彩信即可控制整個(gè)設(shè)備。盡管谷歌很快就發(fā)布了修復(fù)補(bǔ)丁,但Zimperium之后又發(fā)現(xiàn)了Stagefright 2.0漏洞。
4. 越來(lái)越多的設(shè)備會(huì)被遠(yuǎn)程劫持
隨著安卓設(shè)備數(shù)量急劇增加,全球數(shù)十億的人口都會(huì)配有智能手機(jī)。大部分的設(shè)備上都會(huì)預(yù)裝一些應(yīng)用,他們基本上都沒(méi)有經(jīng)過(guò)谷歌安全團(tuán)隊(duì)的分析和驗(yàn)證,正因?yàn)檫@些應(yīng)用的存在導(dǎo)致設(shè)備可能會(huì)被遠(yuǎn)程劫持。安卓智能手機(jī)廠商的這種開(kāi)放可定制化的功能將會(huì)繼續(xù),意味著安全威脅會(huì)更加的嚴(yán)重,因此我們期望手機(jī)廠商能及時(shí)發(fā)布更新或者補(bǔ)丁。
這種情況還可能滋生中間人攻擊的威脅。智能手機(jī)新用戶往往不會(huì)意識(shí)到也沒(méi)有足夠安全的使用習(xí)慣,因此他們會(huì)訪問(wèn)不安全的WiFi網(wǎng)絡(luò)(不會(huì)對(duì)通信數(shù)據(jù)進(jìn)行加密),從而泄露他們的憑證。
另外一個(gè)問(wèn)題是,攻擊者還有能力竊聽(tīng)用戶的對(duì)話或者發(fā)送/接收到的信息。
5. DDoS攻擊更加頻繁
截至目前,我們發(fā)現(xiàn)大部分的DDoS攻擊都是短暫的、一次性的,大部分的企業(yè)都能找到應(yīng)對(duì)方法。然而,隨著越來(lái)越多的手機(jī)和聯(lián)網(wǎng)設(shè)備的出現(xiàn),DDoS已經(jīng)進(jìn)化成了一種新的模式。攻擊者首先會(huì)劫持盡可能多的設(shè)備,然后將這些設(shè)備變成DDoS僵尸網(wǎng)絡(luò)。
6. 物聯(lián)網(wǎng)威脅再度擴(kuò)大
由最近發(fā)生的入侵智能兒童玩具事件和聯(lián)網(wǎng)汽車被黑客劫持的事件看,物聯(lián)網(wǎng)設(shè)備也存在一些固有的危險(xiǎn)。越來(lái)越多的設(shè)備可以聯(lián)網(wǎng),但是卻沒(méi)有配備非常安全的措施。所有連接物聯(lián)網(wǎng)設(shè)備的移動(dòng)應(yīng)用都是通過(guò)藍(lán)牙或者WiFi連接的,但這是非常不安全的。
其中聯(lián)網(wǎng)醫(yī)療設(shè)備問(wèn)題最為突出,從安全角度來(lái)說(shuō),它們的安全配置非常低,攻擊者不僅可以訪問(wèn)它們,還可以完全掌控它們。像聯(lián)網(wǎng)超聲掃描儀之類的醫(yī)療設(shè)備經(jīng)常會(huì)硬編碼一個(gè)默認(rèn)的登錄密碼,并且很容易被猜到。
