十大前沿安全威胁
新技术、新漏洞、新问题
我们对安全漏洞的第一印象是:它们存在于Windows系统和许多流行的软件程序中,黑客可以使用它来破坏你的计算机。然而,随着计算机的普及,情况变得越来越复杂和麻烦。以下十个漏洞和威胁提醒我们,计算机安全远远超过了个人计算机(PC)的发展。
1.入侵汽车
汽车导航和信息娱乐系统可以大大提高驾驶体验,但也可能会导致你措手不及的安全问题。
案例:今年7月,两名安全人员查理米勒(CharlieMiller)和克里斯瓦拉塞克(ChrisValasek)试图通过互联网控制切诺基的加速和制动系统。他们利用吉普Uconect信息娱乐系统中的一个漏洞,在目标车辆行驶时使用手机远程控制制动系统。
米勒和瓦拉塞克为入侵做了三年的准备。菲亚特克莱斯勒集团可以通过信息娱乐系统的漏洞控制车辆的状况,令人担忧(FiatChrysler)集团已下令召回140万有漏洞的车辆。
2.入侵电动滑板,让滑手摔狗啃泥
汽车不是唯一有漏洞的交通工具。8月初,研究人员里克海利(RichoHealy)和麦克瑞安(MikeRyan)演示。他们入侵了滑板与遥控器之间未加密的蓝牙连接,实现了电动滑板的远程控制。
在被称为FacePlant的演示中,两名黑客使用笔记本电脑获得了Bosted电动滑板的控制权。他们让滑板突然刹车,让车轮反转。这将导致滑板飞出,造成严重的道路事故。
从实际可能性来看,你不必太担心成为电动滑板入侵的受害者,但海利和瑞安的研究应该是对电动滑板、电动滑板车和电动自行车制造商的警告。
3.感染BIOS的恶意软件
说到恶意软件,你可能会想到病毒、间谍软件和木马,它们会在操作系统层感染你的电脑。但是有一种新的恶意软件专门入侵PC的底层固件。
这种被称为badBIOS的恶意软件可以感染计算机的BIOS,而且几乎不可能完全消除。研究人员说,badBIOS可以留在你的系统上,刷新BIOS甚至无济于事。传统的监控和消除方法对badBIOS无效。
由于针对固件的恶意软件绕过了操作系统,几乎所有的电脑都可能成为攻击目标,即使你使用的是很少有病毒的操作系统。例如,研究人员上个月演示了如何攻击苹果Mac上使用的EFI固件。
4.利用声波绕过物理隔离
BadBIOS还配备了另一个阴险技巧:恶意软件通过U盘传输,但研究人员认为它可以使用超高频声音信号与其他受感染的计算机通信。研究人员说,这只是恶意软件在没有网络的情况下通信的方法之一。
5.U盘的堕落
使用U盘传播恶意软件并不是一种新方法,可以通过提高警惕和安装成熟的杀毒软件来解决。然而,如果U盘本身是恶意的,你可能会感到无助。
BadUSB是研究人员去年秋天公开的工具包,黑客可以用它恶意修改U盘本身。使用该工具,恶意软件注入器可以篡改U盘本身的固件驱动器,混淆PC,并将U盘识别为另一个完全不同的设备。
IDG新闻服务(IDGNewsService)卢锡安康斯坦丁(LucianConstantin)例如,“连接到计算机的USB磁盘可以自动将其配置文件切换到键盘,并向计算机发送键信号,下载和安装恶意软件。此外,它还可以模仿网络控制器,劫持DNS设置。”
6.USB杀手将PC置于死亡
当然,BadUSB不是唯一的恶意U盘。另一个恶意软件有能力完全烧掉你的PC。
USBKiler是一种概念攻击,攻击者可以使用它篡改硬件,使U盘不会将数据传输到计算机,而是传输电流冲击。被篡改的U盘会产生各种电流反馈:最终,电流会变得足够强大,烧焦你的计算机。
7.Wirelurker瞄准Mac和iPhone
说到移动恶意软件,iPhone目前几乎毫发无损。但这并不意味着iOS没有漏洞。去年秋天,在中国的WireLurker攻击中,无论目标手机是否越狱,黑客都使用感染的OSX应用程序将恶意软件放入手机。
Wirelurker感染Mac后,它将等待用户使用USB将iPhone连接到计算机上。如果检测到越狱iPhone,会在越狱手机上找到几个特定的应用程序,并将其替换为感染版本。对于未越狱的手机,iPhone允许企业将自定义应用程序的特性放入员工的iPhone。
在研究人员宣布WireLurker后,苹果迅速封锁了这一攻击。
8.GPU:恶意软件的未来目标?
今年3月,一群开发者设计了一种叫吉利Fish的概念性恶意软件。它证明恶意软件可以在PC图形处理器上运行。
虽然JellyFish只是一个概念攻击,但一旦实现,它可能会成为一个特别有效的恶意软件,黑客可以使用它来针对Windows、Linux、OSX多平台攻击。
基于GPU的恶意软件很难检测到杀毒软件,尽管Mcafee最近发布的一份报告称,安全软件可能会检测到它,但这只是可能的。
9.让家庭安全头疼的技术
理论上,连接到互联网的视频摄像头可能是一个很好的家庭安全设备。外出后看看家里的情况可能会让你感到安静。但安全研究人员也证明,这些设备可能会威胁到你的隐私和安全。
今年2月,Synack安全公司发布了一项关于这个问题的研究。这项研究揭示了“一系列问题,包括开放端口、内置后门和缺乏加密”。就在这个月,研究人员试图入侵9个连接到互联网的婴儿监控器。这对任何父母来说都是一个可怕的未来。
如果攻击者找到了远程控制家庭安全设备的方法,他们可以将其用作截取家庭内网计算机用户名、密码等个人信息的手段。
10.计算机和枪不共存
TrackingPoint制造了一系列配备传感器和计算机辅助步枪的步枪,可以让你更准确地射击。在今年在拉斯维加斯举行的Defcon和BlackHat会议上,鲁纳山特维克(RunaSandvik)与迈克尔俄歇(MichaelAuger)演示了如何入侵TrackingPoint步枪。
两名安全研究人员利用枪的内置WiFi接入点发现了漏洞,可以将枪口转移到其他物体或人员身上。
TrackingPoint回应说:“枪本身不能连接到互联网,黑客只能在你身边的时候入侵。如果你确信方圆30米内没有黑客,可以继续用WiFi下载照片或者连接到Shotview。”
