2015年已经过去,这一年间发生了很多令我们很震惊的事件,透过这些大事件和漏洞,我们可以预测一下2016年移动安全趋势和可能存在的安全威胁。
1. 恐怖威胁
巴黎恐怖袭击事件虽然已经过去1个月,但人们恐慌的表情依然历历在目,猜想恐怖袭击可能会在2016年蔓延至移动安全领域。未来像Telegram和Redphone之类的通信应用将使用端对端的加密躲避通信窃听行为,但我们的团队还是发现了一些被网络犯罪分子用于通信的应用。
我们预测*者会利用主要的媒体网站,如利用YouTube视频隐藏数据。特殊频率的音频是不会被一般用户听到或者理解的,但可以通过特殊的监听程序破译。
2. 移动支付服务将是下一个重点目标
基于黑帽大会上通道杂音的研究,也预示着2016年移动支付平台(苹果支付或者三星支付)很可能会被黑客攻破。这种事情很可能发生,可能不会完全入侵他们的支付操作算法,但通过对整个系统的分析我们发现了一些绕过策略和漏洞,可导致信用卡信息伪造、敲诈勒索、未授权使用。并且我们已经知道怎样将偷来的信用卡信息成功添加到苹果支付账户中而且不需要银行的验证,诈骗者可以用偷来的信用卡信息在传统的商店中进行消费。
存在这种问题的企业不止苹果和三星两家,像Venmo这种端对端移动支付应用使用的简单支付汇款流程会更加容易被黑客攻击。
3. 手机浏览器攻击更加频繁
移动版本的chrome、Firefox、Safari以及与andriod和iPhone相关核心程序将会是接下来几个月内黑客攻击的重点。通过浏览器入侵手机是目前入侵整个手机最为有效的方式,因为黑客利用浏览器漏洞可以绕过许多系统级别的安全防护策略。举例如下:
(1)基于Webkit 的exp可绕过浏览器沙盒,或者浏览器内置的安全策略。
(2)安卓操作系统中的Stagefright漏洞,一条彩信即可控制整个设备。尽管谷歌很快就发布了修复补丁,但Zimperium之后又发现了Stagefright 2.0漏洞。
4. 越来越多的设备会被远程劫持
随着安卓设备数量急剧增加,全球数十亿的人口都会配有智能手机。大部分的设备上都会预装一些应用,他们基本上都没有经过谷歌安全团队的分析和验证,正因为这些应用的存在导致设备可能会被远程劫持。安卓智能手机厂商的这种开放可定制化的功能将会继续,意味着安全威胁会更加的严重,因此我们期望手机厂商能及时发布更新或者补丁。
这种情况还可能滋生中间人攻击的威胁。智能手机新用户往往不会意识到也没有足够安全的使用习惯,因此他们会访问不安全的WiFi网络(不会对通信数据进行加密),从而泄露他们的凭证。
另外一个问题是,攻击者还有能力窃听用户的对话或者发送/接收到的信息。
5. DDoS攻击更加频繁
截至目前,我们发现大部分的DDoS攻击都是短暂的、一次性的,大部分的企业都能找到应对方法。然而,随着越来越多的手机和联网设备的出现,DDoS已经进化成了一种新的模式。攻击者首先会劫持尽可能多的设备,然后将这些设备变成DDoS僵尸网络。
6. 物联网威胁再度扩大
由最近发生的入侵智能儿童玩具事件和联网汽车被黑客劫持的事件看,物联网设备也存在一些固有的危险。越来越多的设备可以联网,但是却没有配备非常安全的措施。所有连接物联网设备的移动应用都是通过蓝牙或者WiFi连接的,但这是非常不安全的。
其中联网医疗设备问题最为突出,从安全角度来说,它们的安全配置非常低,攻击者不仅可以访问它们,还可以完全掌控它们。像联网超声扫描仪之类的医疗设备经常会硬编码一个默认的登录密码,并且很容易被猜到。
预测威胁并不是危言耸听,而是帮助大家提前预知存在潜在威胁,提前做好各种防范措施。
原文发布时间为:2016-01-05
本文作者:FreeBuf
本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。