每當(dāng)涉及計(jì)算機(jī)安全問(wèn)題，我們總會(huì)聯(lián)想到電腦。而隨著科技發(fā)展，本文總結(jié)的十大前沿安全威脅已經(jīng)不再局限于PC領(lǐng)域，而是逐漸深入到人們?nèi)粘Ｉ畹姆椒矫婷?，所謂“防不勝防”。在今天的文章中，我們將共同討論十種不容忽視的黑客活動(dòng)和安全漏洞，它們將立足新的高度向大家發(fā)起攻擊，其中一些正以前所未見(jiàn)的方式瘋狂襲來(lái)。

1.黑客將矛頭指向車(chē)輛

隨著計(jì)算機(jī)技術(shù)在車(chē)輛中的廣泛應(yīng)用，黑客也將攻擊矛頭指向了車(chē)輛。在車(chē)載導(dǎo)航與信息系統(tǒng)深入提升駕駛體驗(yàn)的同時(shí)，它們也為我們帶來(lái)了新的安全威脅。而作為當(dāng)局者，我們往往一無(wú)所知。據(jù)報(bào)道，今年7月份，安全研究員Charlie Miller與Chris Valasek設(shè)法通過(guò)互聯(lián)網(wǎng)控制了一輛吉普切諾基車(chē)型的加速與剎車(chē)系統(tǒng)(包括其它一些系統(tǒng))。這二位利用吉普汽車(chē)Uconnect內(nèi)置信息娛樂(lè)系統(tǒng)中的一項(xiàng)漏洞實(shí)現(xiàn)了上述目標(biāo)，并通過(guò)智能手機(jī)以遠(yuǎn)程方式在該車(chē)輛行進(jìn)過(guò)程中強(qiáng)制進(jìn)行剎車(chē)。

雖然整個(gè)侵襲過(guò)程讓Miller與Valasek耗費(fèi)了三年心血，聽(tīng)起來(lái)可能性并不高。但車(chē)載信息娛樂(lè)系統(tǒng)中的漏洞可能帶來(lái)的安全隱患很值得擔(dān)憂(yōu)，而且菲亞特-克萊斯勒公司也確實(shí)召回過(guò)140萬(wàn)輛存在安全漏洞的車(chē)輛。

2.入侵電動(dòng)滑板，用戶(hù)面臨摔傷風(fēng)險(xiǎn)

除了汽車(chē)，電動(dòng)滑板也難道一劫。今年8月初，研究人員Richo Healy與Mike Ryan就演示了如何以遠(yuǎn)程方式通過(guò)入侵未受安全保護(hù)的藍(lán)牙連接對(duì)電動(dòng)滑板進(jìn)行控制，而且實(shí)驗(yàn)取得了圓滿(mǎn)成功。

在此次演示中，他們將其稱(chēng)為FacePlant，研究員Healy與Ryan利用一臺(tái)筆記本電腦控制了一架Boosted牌電動(dòng)滑板，突然進(jìn)行制動(dòng)，而后將其送往反方向，使用者當(dāng)場(chǎng)人板分離。如果在實(shí)際場(chǎng)景種，必然會(huì)對(duì)用戶(hù)造成無(wú)法預(yù)測(cè)的傷害。

3.惡意軟件入侵BIOS

每當(dāng)提起惡意軟件，我們首先想到的可能是那些在操作系統(tǒng)層級(jí)上入侵PC設(shè)備的病毒、間諜軟件或木馬程序。然而目前已經(jīng)出現(xiàn)了一類(lèi)新興惡意軟件，專(zhuān)門(mén)以PC設(shè)備中的底層固件作為攻擊對(duì)象。

一種名為badBIOS的惡意軟件就是一個(gè)典型的例子。其并不僅會(huì)感染PC設(shè)備的BIOS，而且?guī)缀鯚o(wú)法被徹底清除。根據(jù)研究人員的報(bào)道，badBIOS能夠持續(xù)存在于我們的系統(tǒng)當(dāng)中，即使對(duì)BIOS進(jìn)行刷新也無(wú)濟(jì)于事。結(jié)果就是，傳統(tǒng)的檢測(cè)與清理方案對(duì)于badBIOS根本不起作用。

由于這類(lèi)惡意軟件直接指向固件而繞過(guò)了操作系統(tǒng)，因此幾乎每一臺(tái)PC都會(huì)被感染，即使全面消除了操作系統(tǒng)層面的惡意軟件也沒(méi)有任何作用。舉例來(lái)說(shuō)，就在上個(gè)月，研究人員演示了如何利用該惡意軟件攻擊蘋(píng)果公司在Mac設(shè)備上所使用的EFI固件。

4.惡意軟件開(kāi)始以無(wú)線方式進(jìn)行傳播——例如將聲音作為載體

除了上一點(diǎn)之外，badBIOS還擁有另一項(xiàng)極為陰險(xiǎn)的伎倆：盡管該惡意軟件能夠通過(guò)受感染的U盤(pán)進(jìn)行傳播，但研究人員認(rèn)為其同時(shí)亦可以通過(guò)高頻音頻信號(hào)與其它受感染計(jì)算機(jī)進(jìn)行通信。研究人員指出，這還僅僅是該惡意軟件與其它受感染設(shè)備間實(shí)現(xiàn)通信的方式之一——換言之，badBIOS擁有多種不借助網(wǎng)絡(luò)即可實(shí)現(xiàn)交互與傳播的途徑。

5.U盤(pán)變身惡意軟件幫兇

通過(guò)受感染文件在U盤(pán)之間傳播惡意軟件是再常見(jiàn)不過(guò)的情況，只要我們采取謹(jǐn)慎的使用態(tài)度并配合出色的殺毒軟件，這種情況基本上不是特別麻煩。不過(guò)當(dāng)U盤(pán)本身成為惡意軟件工具，結(jié)果則大相徑庭。

有報(bào)道稱(chēng)，去年秋季兩位安全研究人員打造出一套名為BadUSB的工具包，能夠?qū)盤(pán)進(jìn)行修改以實(shí)現(xiàn)各類(lèi)惡意用途。利用BadUSB這樣的攻擊型技術(shù)，惡意軟件傳播者能夠以前瞻性方式修改U盤(pán)內(nèi)部的固件并借此迷惑PC設(shè)備，使后者將U盤(pán)誤認(rèn)為其它裝置。

6.USB Killer令PC死無(wú)葬身之地

實(shí)際上，BadUSB還僅僅是惡意U盤(pán)的實(shí)際體現(xiàn)之一，另一種甚至有可能徹底摧毀用戶(hù)的PC設(shè)備。

USB Killer是一種概念驗(yàn)證型攻擊方案，攻擊者可以利用它改造U盤(pán)硬件，從而使其向PC設(shè)備直接發(fā)送電流而非數(shù)據(jù)。經(jīng)過(guò)改造的U盤(pán)能夠?qū)е赂黝?lèi)電流反饋回路，并最終讓電流強(qiáng)大到足以利用高電壓擊穿PC設(shè)備的內(nèi)部元件。小編只想說(shuō)，聽(tīng)起來(lái)真的很恐怖。

7.iPhone與Mac平臺(tái)也無(wú)一幸免

在移動(dòng)惡意軟件領(lǐng)域，iPhone被大家公認(rèn)為是一道難以突破的障礙，很多用戶(hù)可能就是奔著蘋(píng)果高度的安全性才選擇的。但近些年來(lái)，iPhone應(yīng)該程序以及Mac平臺(tái)接連遭到各種黑客攻擊。去年秋季的WireLurker攻擊活動(dòng)尤為典型，其利用受感染的OS X應(yīng)用程序?qū)阂廛浖鬏斨羒Phone中以擦除用戶(hù)的個(gè)人數(shù)據(jù)，例如通話(huà)記錄以及聯(lián)系人等。值得強(qiáng)調(diào)的是，無(wú)論您的iPhone是否越獄，都會(huì)收到該攻擊。

一旦WireLurker侵入了Mac平臺(tái)，它就會(huì)潛伏起來(lái)并靜待用戶(hù)將自己的iPhone通過(guò)USB接入計(jì)算機(jī)。一旦檢測(cè)到越獄的iPhone，它會(huì)在設(shè)備之上搜索某些特定應(yīng)用并利用受感染的版本進(jìn)行替換。而在未越獄的手機(jī)當(dāng)中，它則會(huì)利用一項(xiàng)特殊功能實(shí)現(xiàn)目的——該功能允許企業(yè)管理者在員工的iPhone設(shè)備上安裝定制化應(yīng)用程序。

好在蘋(píng)果及時(shí)發(fā)現(xiàn)了這一惡意攻擊，并很快將其修復(fù)。

8.GPU將惡意軟件的下一個(gè)目標(biāo)

今年三月，一群開(kāi)發(fā)人員打造出名為JellyFish的概念驗(yàn)證型惡意軟件，旨在演示惡意軟件會(huì)以怎樣的方式運(yùn)行在PC設(shè)備的圖形處理器之上。

雖然JellyFish只能算是證明此類(lèi)攻擊活動(dòng)有可能存在的示例性成果，但采取此種機(jī)制的惡意軟件確實(shí)非常有效，因?yàn)槠淠軌蚍浅］p松地侵入到運(yùn)行有Windows、Linux或者OS X系統(tǒng)的設(shè)備當(dāng)中。

駐留在GPU當(dāng)中的惡意軟件也很難被殺毒軟件所察覺(jué)，不過(guò)McAfee公司最近發(fā)布的報(bào)告指出，其安全軟件可能，注意，只是可能——將其檢測(cè)出來(lái)。但愿未來(lái)的安全保護(hù)工具能夠阻斷這種新型威脅。

9.聯(lián)網(wǎng)家居設(shè)備存在安全隱患

現(xiàn)在很多家庭為了安全起見(jiàn)，都安裝了接入互聯(lián)網(wǎng)的視頻攝像頭。按理說(shuō)這應(yīng)該能夠成為安全性非常高的保護(hù)家居環(huán)境的得力助手——畢竟可以隨時(shí)監(jiān)控家中的一舉一動(dòng)。然而安全研究人員發(fā)現(xiàn)，那些所謂聯(lián)網(wǎng)家居設(shè)備當(dāng)中通常都存在著各種隱患，這意味著攻擊者可能會(huì)借此窺探個(gè)人隱私或者侵入家居環(huán)境。

今年二月，研究人員成功侵入了九款聯(lián)網(wǎng)嬰兒監(jiān)護(hù)攝像頭，這樣的發(fā)現(xiàn)實(shí)在令人憂(yōu)心。如果攻擊者發(fā)現(xiàn)了利用遠(yuǎn)程方式控制聯(lián)網(wǎng)家居設(shè)備的途徑，則能夠借此方式從家庭網(wǎng)絡(luò)環(huán)境的計(jì)算設(shè)備中獲取到用戶(hù)的個(gè)人信息(例如用戶(hù)名與密碼等)。而這種行為帶來(lái)的后果，令人不堪設(shè)想。

10.計(jì)算設(shè)備搭配槍支——為虎作倀

TrackingPoint公司曾經(jīng)制造過(guò)一系列包含傳感設(shè)備的計(jì)算機(jī)輔助步槍產(chǎn)品，旨在提高用戶(hù)的射擊精準(zhǔn)度。而在今年的DEFCON大會(huì)以及去年在拉斯維加斯召開(kāi)的黑帽大會(huì)上，安全研究人員Runa Sandvik與Michael Auger則演示了如何對(duì)TrackingPoint旗下的一款步槍進(jìn)行入侵。

這兩位研究人員通過(guò)步槍上的內(nèi)置Wi-Fi接入點(diǎn)利用了系統(tǒng)中的一項(xiàng)漏洞，從而將射擊目標(biāo)由既定方向重新定向至其它位置——即潛在的其它對(duì)象或者受攻擊者。

TrackingPoint公司針對(duì)這一狀況作出了回應(yīng)，表示“由于該槍支無(wú)法接入互聯(lián)網(wǎng)，因此只能在被黑客以物理方式直接接觸的情況下才會(huì)遭到入侵。因此，如果大家能夠保證周?chē)?00英尺之內(nèi)不存在黑客人士，則完全可以繼續(xù)使用其內(nèi)置的Wi-Fi機(jī)制來(lái)下載圖片或者連接至ShotView網(wǎng)站?！?/p>

Miranda

收藏 海報(bào)分享