新技術、新漏洞、新難題
我們對安全漏洞的第一印象是這樣的:它們存在于Windows系統和許多流行的軟件程序中,黑客可以對其加以利用,破壞你的電腦。然而隨著計算機不斷普及,狀況正在變得更加復雜,麻煩也越來越多。以下列出的十種漏洞和威脅提醒我們,計算機安全已經遠遠超越了個人電腦(PC)的發展。
1. 入侵汽車
汽車導航和信息娛樂系統可以極大地提升駕駛體驗,但它們也可能造成讓你措手不及的安全問題。
案例:今年七月,兩位安全人員查理·米勒(Charlie Miller)和克里斯·瓦拉塞克(Chris Valasek)設法通過互聯網控制了切諾基的加速和剎車系統。他們利用吉普Uconnect信息娛樂系統中的一個漏洞,使用一臺手機在目標車輛行駛時遠程控制了其剎車系統。
米勒和瓦拉塞克為這次入侵準備了三年。攻擊者能夠通過信息娛樂系統漏洞控制車輛的狀況十分令人擔憂,菲亞特克萊斯勒集團(Fiat Chrysler)集團已經下令召回140萬存在漏洞的車輛。
2. 入侵電動滑板,讓滑手摔個狗啃泥
汽車并不是唯一存在漏洞的交通工具。8月上旬,研究人員里克·海利(Richo Healy)和麥克·瑞安(Mike Ryan)進行了一次演示。他們入侵滑板和其遙控器間未加密的藍牙連接,實現了遠程控制電動滑板。
在被他們稱為FacePlant的演示中,兩位黑客使用一臺筆記本電腦獲得了Boosted牌電動滑板的控制權。他們讓這臺滑板突然制動,并且讓其輪子反轉運行。這將導致滑手飛出滑板,造成嚴重的路面事故。
從實際可能性上講,你不用太擔心成為電動滑板入侵的受害者,但海利和瑞安的研究對于電動滑板、電動滑板車和電動自行車制造商而言應當是一種警醒。
3. 惡意軟件感染BIOS
提起惡意軟件,你可能會想到病毒、間諜軟件和木馬,它們在操作系統層感染你的電腦。但有一類新出現的惡意軟件專門入侵PC的底層固件。
這種被稱為badBIOS的惡意軟件能夠感染電腦的BIOS,而且幾乎不可能完全消除。研究人員表示,badBIOS可以駐留在你的系統上,刷新BIOS甚至都無濟于事,傳統的監測和消除方法對badBIOS無效。
由于針對固件的惡意軟件繞過了操作系統,幾乎所有PC都可能成為攻擊目標,哪怕你使用的是病毒非常少的操作系統。舉例而言,研究者上個月演示了該惡意軟件如何攻擊蘋果Mac上使用的EFI固件。
4. 利用聲波繞過物理隔離
badBIOS還配有另一種陰險的伎倆:該惡意軟件通過U盤傳播,但研究人員認為它能夠利用超高頻聲音信號與其它受感染電腦進行通信。研究人員表示,這只是此惡意軟件在無網絡情況下進行通信的方法之一。
5. U盤的墮落
使用U盤傳播惡意軟件并不是什么新方法,可以通過提高警惕并安裝成熟的殺毒軟件來解決。然而如果U盤本身就是惡意的,你可能會束手無策。
BadUSB是研究人員去年秋天公開的一個工具包,黑客可以利用它來惡意修改U盤本身。利用該工具,惡意軟件注入器可以篡改U盤本身的固件驅動,并迷惑PC,讓其將U盤識別為另一種完全不同的設備。
來自IDG新聞服務(IDG News Service)的盧錫安·康斯坦丁(Lucian Constantin)舉例解釋稱:“連接到電腦的USB盤可以自動將其配置文件切換為鍵盤,并向電腦發送擊鍵信號,下載并安裝惡意軟件。另外,它還可以模仿網絡控制器,劫持DNS設置。”
6. USB殺手置PC于死地
當然,BadUSB并不是唯一一種惡意U盤。另一種惡意軟件有能力徹底燒掉你的PC。
USB Killer是一種概念性攻擊,攻擊者可以使用它篡改硬件,讓U盤并不向電腦傳送數據,而是傳送電流沖擊。被篡改的U盤會制造各種各樣的電流反饋:最終,電流會變得足夠強大,烤焦你的電腦內部。
7. WireLurker瞄準Mac和iPhone
說到移動端惡意軟件,iPhone目前幾乎毫發無損。但這并不意味著iOS不存在漏洞。去年秋天,中國發生的WireLurker攻擊事件中,黑客使用受感染的OS X應用向手機投放惡意軟件,該軟件會竊取個人數據,不論目標手機越獄與否。
在WireLurker感染Mac后,它會等待用戶使用USB方式將iPhone連接到電腦上。如果它檢測到越獄iPhone,就會查找越獄手機上的特定幾種應用,并將其替換為感染后的版本。對于未越獄的手機,它會利用iPhone允許企業對員工的iPhone安裝自定義應用的特性投放攻擊載荷。
在研究人員公布WireLurker后,蘋果很快封堵了這種攻擊。
8. GPU:未來惡意軟件的目標?
時間退回今年三月,一群開發者設計了一種概念性惡意軟件,被稱為JellyFish。它證明,惡意軟件可以在PC的圖形處理器上運行。
盡管JellyFish只是一種概念攻擊,一旦實現,它有可能成為一種特別有效的惡意軟件,黑客可以利用它進行針對Windows、Linux、OS X的多平臺攻擊。
殺毒軟件很難探測到基于GPU的惡意軟件,盡管McAfee最近發布的一份報告稱安全軟件有可能探測到它,但這僅僅是可能。
9. 讓家庭安全頭疼的技術
連接到互聯網的視頻攝像頭可能在理論上是不錯的家庭安全設備,能夠在出門之后看看家里的情況可能會讓你的內心感到寧靜。但安全研究人員同樣證明了這類設備有可能威脅你的隱私和安全。
今年二月,Synack安全公司發布了針對該問題的研究。這項研究揭示了“一系列問題,包括開放端口、內置后門、缺乏加密”。就在這個月,研究人員設法入侵了九個連接到互聯網的嬰兒監控器。這對任何父母而言都是非常可怕的前景。
如果攻擊者發現了能夠遠程控制家庭安全設備的方式,他們有可能將其用作截獲家庭內網計算機的用戶名、密碼等個人信息的手段。
10. 電腦與槍不共存
TrackingPoint制造了一系列配裝傳感器和計算機輔助的步槍,可以讓你更精確地射擊。今年于拉斯維加斯召開的DefCon和Black Hat大會上,魯納·山特維克(Runa Sandvik)和邁克爾·俄歇(Michael Auger)演示了如何入侵一支TrackingPoint步槍。
兩位安全研究人員利用該槍的內置WiFi接入點發現了漏洞,它可以讓槍口轉離你的目標,指向其它物體或人員。
TrackingPoint對這次入侵作出回應稱:“槍本身不能連接到互聯網,黑客只有在你身邊時才能進行入侵。如果確信方圓30米內沒有黑客,你可以繼續使用WiFi下載照片或連接到ShotView。”
京公網安備 11010502049343號