十大前沿安全威脅

新技術(shù)、新漏洞、新問題

我們對(duì)安全漏洞的第一印象是：它們存在于Windows系統(tǒng)和許多流行的軟件程序中，黑客可以使用它來破壞你的計(jì)算機(jī)。然而，隨著計(jì)算機(jī)的普及，情況變得越來越復(fù)雜和麻煩。以下十個(gè)漏洞和威脅提醒我們，計(jì)算機(jī)安全遠(yuǎn)遠(yuǎn)超過了個(gè)人計(jì)算機(jī)（PC）的發(fā)展。

1.入侵汽車

汽車導(dǎo)航和信息娛樂系統(tǒng)可以大大提高駕駛體驗(yàn)，但也可能會(huì)導(dǎo)致你措手不及的安全問題。

案例：今年7月，兩名安全人員查理米勒（CharlieMiller）和克里斯瓦拉塞克（ChrisValasek）試圖通過互聯(lián)網(wǎng)控制切諾基的加速和制動(dòng)系統(tǒng)。他們利用吉普Uconect信息娛樂系統(tǒng)中的一個(gè)漏洞，在目標(biāo)車輛行駛時(shí)使用手機(jī)遠(yuǎn)程控制制動(dòng)系統(tǒng)。

米勒和瓦拉塞克為入侵做了三年的準(zhǔn)備。菲亞特克萊斯勒集團(tuán)可以通過信息娛樂系統(tǒng)的漏洞控制車輛的狀況，令人擔(dān)憂（FiatChrysler）集團(tuán)已下令召回140萬有漏洞的車輛。

2.入侵電動(dòng)滑板，讓滑手摔狗啃泥

汽車不是唯一有漏洞的交通工具。8月初，研究人員里克海利（RichoHealy）和麥克瑞安（MikeRyan）演示。他們?nèi)肭至嘶迮c遙控器之間未加密的藍(lán)牙連接，實(shí)現(xiàn)了電動(dòng)滑板的遠(yuǎn)程控制。

在被稱為FacePlant的演示中，兩名黑客使用筆記本電腦獲得了Bosted電動(dòng)滑板的控制權(quán)。他們讓滑板突然剎車，讓車輪反轉(zhuǎn)。這將導(dǎo)致滑板飛出，造成嚴(yán)重的道路事故。

從實(shí)際可能性來看，你不必太擔(dān)心成為電動(dòng)滑板入侵的受害者，但海利和瑞安的研究應(yīng)該是對(duì)電動(dòng)滑板、電動(dòng)滑板車和電動(dòng)自行車制造商的警告。

3.感染BIOS的惡意軟件

說到惡意軟件，你可能會(huì)想到病毒、間諜軟件和木馬，它們會(huì)在操作系統(tǒng)層感染你的電腦。但是有一種新的惡意軟件專門入侵PC的底層固件。

這種被稱為badBIOS的惡意軟件可以感染計(jì)算機(jī)的BIOS，而且?guī)缀醪豢赡芡耆Ｑ芯咳藛T說，badBIOS可以留在你的系統(tǒng)上，刷新BIOS甚至無濟(jì)于事。傳統(tǒng)的監(jiān)控和消除方法對(duì)badBIOS無效。

由于針對(duì)固件的惡意軟件繞過了操作系統(tǒng)，幾乎所有的電腦都可能成為攻擊目標(biāo)，即使你使用的是很少有病毒的操作系統(tǒng)。例如，研究人員上個(gè)月演示了如何攻擊蘋果Mac上使用的EFI固件。

4.利用聲波繞過物理隔離

BadBIOS還配備了另一個(gè)陰險(xiǎn)技巧：惡意軟件通過U盤傳輸，但研究人員認(rèn)為它可以使用超高頻聲音信號(hào)與其他受感染的計(jì)算機(jī)通信。研究人員說，這只是惡意軟件在沒有網(wǎng)絡(luò)的情況下通信的方法之一。

5.U盤的墮落

使用U盤傳播惡意軟件并不是一種新方法，可以通過提高警惕和安裝成熟的殺毒軟件來解決。然而，如果U盤本身是惡意的，你可能會(huì)感到無助。

BadUSB是研究人員去年秋天公開的工具包，黑客可以用它惡意修改U盤本身。使用該工具，惡意軟件注入器可以篡改U盤本身的固件驅(qū)動(dòng)器，混淆PC，并將U盤識(shí)別為另一個(gè)完全不同的設(shè)備。

IDG新聞服務(wù)（IDGNewsService）盧錫安康斯坦丁（LucianConstantin）例如，“連接到計(jì)算機(jī)的USB磁盤可以自動(dòng)將其配置文件切換到鍵盤，并向計(jì)算機(jī)發(fā)送鍵信號(hào)，下載和安裝惡意軟件。此外，它還可以模仿網(wǎng)絡(luò)控制器，劫持DNS設(shè)置。”

6.USB殺手將PC置于死亡

當(dāng)然，BadUSB不是唯一的惡意U盤。另一個(gè)惡意軟件有能力完全燒掉你的PC。

USBKiler是一種概念攻擊，攻擊者可以使用它篡改硬件，使U盤不會(huì)將數(shù)據(jù)傳輸?shù)接?jì)算機(jī)，而是傳輸電流沖擊。被篡改的U盤會(huì)產(chǎn)生各種電流反饋：最終，電流會(huì)變得足夠強(qiáng)大，燒焦你的計(jì)算機(jī)。

7.Wirelurker瞄準(zhǔn)Mac和iPhone

說到移動(dòng)惡意軟件，iPhone目前幾乎毫發(fā)無損。但這并不意味著iOS沒有漏洞。去年秋天，在中國(guó)的WireLurker攻擊中，無論目標(biāo)手機(jī)是否越獄，黑客都使用感染的OSX應(yīng)用程序?qū)阂廛浖湃胧謾C(jī)。

Wirelurker感染Mac后，它將等待用戶使用USB將iPhone連接到計(jì)算機(jī)上。如果檢測(cè)到越獄iPhone，會(huì)在越獄手機(jī)上找到幾個(gè)特定的應(yīng)用程序，并將其替換為感染版本。對(duì)于未越獄的手機(jī)，iPhone允許企業(yè)將自定義應(yīng)用程序的特性放入員工的iPhone。

在研究人員宣布WireLurker后，蘋果迅速封鎖了這一攻擊。

8.GPU：惡意軟件的未來目標(biāo)？

今年3月，一群開發(fā)者設(shè)計(jì)了一種叫吉利Fish的概念性惡意軟件。它證明惡意軟件可以在PC圖形處理器上運(yùn)行。

雖然JellyFish只是一個(gè)概念攻擊，但一旦實(shí)現(xiàn)，它可能會(huì)成為一個(gè)特別有效的惡意軟件，黑客可以使用它來針對(duì)Windows、Linux、OSX多平臺(tái)攻擊。

基于GPU的惡意軟件很難檢測(cè)到殺毒軟件，盡管Mcafee最近發(fā)布的一份報(bào)告稱，安全軟件可能會(huì)檢測(cè)到它，但這只是可能的。

9.讓家庭安全頭疼的技術(shù)

理論上，連接到互聯(lián)網(wǎng)的視頻攝像頭可能是一個(gè)很好的家庭安全設(shè)備。外出后看看家里的情況可能會(huì)讓你感到安靜。但安全研究人員也證明，這些設(shè)備可能會(huì)威脅到你的隱私和安全。

今年2月，Synack安全公司發(fā)布了一項(xiàng)關(guān)于這個(gè)問題的研究。這項(xiàng)研究揭示了“一系列問題，包括開放端口、內(nèi)置后門和缺乏加密”。就在這個(gè)月，研究人員試圖入侵9個(gè)連接到互聯(lián)網(wǎng)的嬰兒監(jiān)控器。這對(duì)任何父母來說都是一個(gè)可怕的未來。

如果攻擊者找到了遠(yuǎn)程控制家庭安全設(shè)備的方法，他們可以將其用作截取家庭內(nèi)網(wǎng)計(jì)算機(jī)用戶名、密碼等個(gè)人信息的手段。

10.計(jì)算機(jī)和槍不共存

TrackingPoint制造了一系列配備傳感器和計(jì)算機(jī)輔助步槍的步槍，可以讓你更準(zhǔn)確地射擊。在今年在拉斯維加斯舉行的Defcon和BlackHat會(huì)議上，魯納山特維克（RunaSandvik）與邁克爾俄歇（MichaelAuger）演示了如何入侵TrackingPoint步槍。

兩名安全研究人員利用槍的內(nèi)置WiFi接入點(diǎn)發(fā)現(xiàn)了漏洞，可以將槍口轉(zhuǎn)移到其他物體或人員身上。

TrackingPoint回應(yīng)說:“槍本身不能連接到互聯(lián)網(wǎng)，黑客只能在你身邊的時(shí)候入侵。如果你確信方圓30米內(nèi)沒有黑客，可以繼續(xù)用WiFi下載照片或者連接到Shotview。”