在我们即将进入2016年之际,我的安全团队和我正在编辑一份预测报告,关于移动安全发展趋势以及对我们影响最大的各种漏洞。我列出这些威胁不是为了加大恐慌程度,而是想列出我们在接下来的一年里可能会遇到的严重安全威胁。并且希望,这份报告可以促使行业提前做好准备。有了适当的预防措施后,大部分威胁的危害都能够降到最小,或者被提前处理。
1.恐怖主义
在巴黎和圣贝纳迪诺发生的恐怖袭击,以及发生在世界其他地方的恐怖袭击,致使了恐怖主义在新一年将成为移动安全的隐患所在。我们可以看到,为了防止被窃听,Telegram和 Redphone-type通信软件所使用的端到端加密保护程序越来越普遍。我的团队一直在追踪那些看起来合法的应用程序,罪犯会使用这软件与别人沟通,但是时间非常短暂。(有时候他们只使用一次)
展望未来,我们预测恐怖分子会利用主流媒体服务,比如YouTube,通过将数据与视频做整合,掩饰他们的通信交流。例如,特殊的音频频率正常人无法听到或辨识,但是可以通过一个特殊的监听程序将频率改变。
2.黑客攻击移动支付服务
根据黑帽黑客使用的通信频道的反馈,在2016年,领先的移动支付平台如Apple Pay或者Samsung Pay将会受到严重破坏。这可能不会直接破坏支付平台的处理算法,但是会通过对整个系统分析,确定并利用其他的支路或漏洞,从而导致信用卡信息诈骗、勒索以及未经授权使用。我们已经看到,被盗的信用卡可以成功添加到ApplePay的账户中,即使没有银行授权,骗子可以使用被盗的银行卡在实体店使用。很快,类似的技术将有可能用于在线交易。
苹果和三星并不是目标中唯一的公司,对等网络移动支付软件如Venmo,使用简单的汇款程序,这使得其更易受到黑客的攻击,黑客可以将资金从用户的账户中转移到一个他们可以访问的虚拟账户中。(我们一直在暗中监视这种活动,但是至今还不清楚是否这些攻击是否已经成功。)
3.移动网页黑客攻击的趋势上扬
我们预计Chrome、Firefox 、Safari浏览器的移动版本以及安卓或iPhone的相关操作系统在接下来的几个月中将会遭到频繁的攻击。黑客通过攻击移动浏览器是一种破解整个系统最有效的方式,因为浏览器存在的漏洞会让黑客绕过系统的安全措施。下面将会告诉你他们如何运作:
基于Webkit的漏洞会允许黑客绕过浏览器的沙箱,或者建立在现代浏览器中的安全措施。这将最有可能通过OS/kernel-level开发组件获取系统的访问权限,并且完全控制设备。
Stagefright就是一个OS-level的程序,它是安卓OS系统的数据库中的一个漏洞。虽然谷歌在今年夏天已经发布了针对这个问题的漏洞,Zimperium在今年10月发布了名为Stagefright 2.0的补丁,当其应用到网页浏览器中的时候,它变得非常可靠。
我们预测在接下来的一年中,将有越来越多的漏洞出现,这些漏洞被利用的范围也会变得更加广泛。
4.远程设备控制/窃听
由于安卓设备的发展,世界上数十亿人很快拥有了自己的智能手机。大多数手机都拥有预装程序,并且这些程序普遍都没有经过谷歌安全团队的分析和检测,然而,这就会使手机受到远程控制。原始设备制造商定制的开放性的安卓手机会继续恶化这一威胁,所以我们也希望原始设备制造商能够频繁进行安全升级。
与此相关的是中间人攻击的趋势上升。新型智能手机的用户往往不了解或者对他们的手机缺少足够的安全保护。例如,他们会让手机自动接入不安全的AP/WiFi连接,这些网络连接对传输的数据都不加密。这就会使不安全的程序泄露用户的证书,黑客利用证书可以“看到”移动设备传输数据。
另一个值得关注的是,黑客有能力窃听谈话以及看到用户收发的信息。我的同事Daniel Komaromy和 Nico Golde最近的研究证明了一个简单的中间人攻击如何对三星的Shannon基带芯片产生影响。这个漏洞让黑客有能力监听这些设备的通话。
5.DDoS攻击:进化
到目前为止,大多数拒绝服务攻击已经比较罕见了,而且影响力也很短暂,大多数互联网企业都可以处理这种攻击。然而,移动设备和其他网络连接设备让DDoS得以发展。我们开始看到一些设备被控制,变成了DDoS bots,因此要增加屏障用来检测和预防这类攻击。我们应该对这类攻击有所提防,预防的速度要与新的互联网设备进入市场的速率大致相同。
6.物联网
互联网连接的医疗设备因为安全方面的低配置,变得臭名昭著,因为这使得黑客可以远程控制这些设备。例如,网络化的超声波扫描仪以及其他医疗设备,往往有一个硬编码的网络登录密码,用来远程登录,而且这个密码很好猜。在2013年,我的同事Jay Radcliff证明了了一个胰岛素泵的控制程序可能会被篡改,导致胰岛素过量。这真是相当讽刺,挽救我们生命的设备也可能伤害我们。
所有的指一切都可能在未来造成一个恒定的安全威胁,但是我在开头就说过,好消息是,对于我所列出的漏洞,有一些直接积极的步骤,我真心希望现在的组织可以立刻采纳我的这一列表。安全与黑客的发展趋势将会一夜之间改变,那些安全团队在2年前采取的措施现在已经远远不够,在2016年当然更加不足。