移動(dòng)安全和物聯(lián)網(wǎng)安全是2015年美國(guó)Blackhat黑帽大會(huì)的熱門(mén)安全話(huà)題。2016年，隨著移動(dòng)經(jīng)濟(jì)、物聯(lián)網(wǎng)經(jīng)濟(jì)的高速發(fā)展，新的移動(dòng)安全威脅將會(huì)接踵而來(lái)，近日安全公司SEWORKS創(chuàng)始人Min-Pyo Hong對(duì)2016年移動(dòng)安全威脅趨勢(shì)進(jìn)行了預(yù)測(cè)，IT經(jīng)理網(wǎng)整理如下：

一、恐怖主義

2015年最重大的恐怖主義襲擊事件，包括巴黎恐襲和圣貝納迪諾槍擊案引發(fā)了關(guān)于加密通訊軟件是否助長(zhǎng)恐怖主義活動(dòng)的大討論，甚至推動(dòng)這波互聯(lián)網(wǎng)加密浪潮的斯諾登同學(xué)也躺槍遭到美國(guó)前總統(tǒng)新聞官的謾罵指責(zé)。但是從ISIS最近泄露的成員安全操作指南中我們可以看到，RedPhone和Signal這樣的后斯諾登時(shí)代的加密產(chǎn)品只是恐怖主義分子眾多選擇之一。事實(shí)上恐怖主義分子常用的加密（通訊）工具與安全專(zhuān)家或黑客常用的工具沒(méi)有什么區(qū)別，事實(shí)上恐怖分子很多時(shí)候會(huì)利用PSN這樣的公共平臺(tái)，通過(guò)弱加密或者不加密的方式來(lái)傳遞信息。2016年，我們可以預(yù)見(jiàn)的是，恐怖分子很可能更多使用類(lèi)似Youtube這樣的網(wǎng)絡(luò)媒體平臺(tái)來(lái)通訊，例如在Youtube視頻中秘密嵌入數(shù)據(jù)（用非常規(guī)的聲音頻率來(lái)加密數(shù)據(jù)）

二、黑客盯上移動(dòng)支付服務(wù)

2015年是移動(dòng)支付服務(wù)大爆發(fā)的一年，從黑客圈子里私下流傳的信息來(lái)看，2016年類(lèi)似Apple Pay或Samsung Pay（類(lèi)似微信支付）這樣的知名移動(dòng)支付平臺(tái)將要“出大事”。黑客也許不會(huì)直接攻破移動(dòng)支付平臺(tái)的交易算法，但很可能會(huì)通過(guò)分析整個(gè)支付系統(tǒng)，找出漏洞和捷徑實(shí)施信用卡欺詐和非授權(quán)使用的方法。目前已經(jīng)發(fā)生過(guò)多起失竊信用卡信息被成功綁定到ApplePay賬戶(hù)中消費(fèi)的事件，黑客成功繞過(guò)了銀行驗(yàn)證，用偷來(lái)的信用卡賬號(hào)在實(shí)體店消費(fèi)。

事實(shí)上蘋(píng)果和三星并非黑客的全部獵物，P2P移動(dòng)支付應(yīng)用，例如Venmo這些采用簡(jiǎn)單的支付匯款流程的應(yīng)用更容易被黑客找到漏洞竊取用戶(hù)賬戶(hù)金額，并轉(zhuǎn)存到特定賬戶(hù)。

三、移動(dòng)web瀏覽器攻擊將暴增

未來(lái)幾個(gè)月，Android和iPhone平臺(tái)上的移動(dòng)瀏覽器，包括Chrome、Firefox、Safari，以及采用類(lèi)似內(nèi)核的瀏覽器，都將頻頻遭受黑客攻擊。因?yàn)橐苿?dòng)瀏覽器是入侵手機(jī)最高效的渠道，通過(guò)利用瀏覽器漏洞，黑客能繞過(guò)很多系統(tǒng)安全措施，隨便舉兩個(gè)例子：

基于webkit的漏洞利用可以讓黑客繞過(guò)瀏覽器的沙盒，以及瀏覽器內(nèi)建的安全機(jī)制。隨后，黑客很可能通過(guò)操作系統(tǒng)內(nèi)核層面的漏洞利用獲得root權(quán)限并完全控制手機(jī)。

Stagefright就是一個(gè)典型的操作系統(tǒng)層面的攻擊，例如用了Android操作系統(tǒng)代碼庫(kù)中的一個(gè)漏洞。雖然谷歌去年夏天發(fā)布了補(bǔ)丁，但是10月份又冒出了Stagefright2.0，當(dāng)這類(lèi)攻擊通過(guò)web瀏覽器執(zhí)行，將防不勝防。

預(yù)計(jì)未來(lái)幾個(gè)月與移動(dòng)web瀏覽器有關(guān)的漏洞和攻擊數(shù)量將大增。

四、遠(yuǎn)程設(shè)備劫持/監(jiān)聽(tīng)

隨著Android設(shè)備的大賣(mài)，全球數(shù)以十億計(jì)的人都使用上了智能手機(jī)，但是能夠躲過(guò)谷歌安全團(tuán)隊(duì)審查和認(rèn)證的智能手機(jī)預(yù)裝應(yīng)用將引發(fā)一系列的嚴(yán)重安全問(wèn)題，特別是遠(yuǎn)程設(shè)備劫持。我們可以預(yù)見(jiàn)2016年Android智能手機(jī)廠(chǎng)商安全補(bǔ)丁的更新頻率將加快至少一倍。

與此同時(shí)，中間人攻擊（MitM）的數(shù)量將大增，這是因?yàn)楹芏嘈碌闹悄苁謾C(jī)用戶(hù)往往缺乏必要的安全意識(shí)，例如他們會(huì)讓自己的設(shè)備自動(dòng)訪(fǎng)問(wèn)不安全的公共WiFi熱點(diǎn)，從而成為黑客中間人攻擊的獵物和犧牲品。除了中間人攻擊，智能手機(jī)的應(yīng)用安全問(wèn)題還意味著遠(yuǎn)程監(jiān)聽(tīng)（通話(huà)、短信等）的的數(shù)量也將上升。

五、DDoS攻擊的進(jìn)化

如今大多數(shù)DDoS攻擊都是短期和不定期的，而且很多企業(yè)如今都已經(jīng)為此類(lèi)DDoS做好了充分的準(zhǔn)備。但是，隨著移動(dòng)互聯(lián)網(wǎng)和物聯(lián)網(wǎng)的發(fā)展，DDoS正在悄悄進(jìn)化，越來(lái)越多的智能手機(jī)和物聯(lián)網(wǎng)設(shè)備變成了僵尸網(wǎng)絡(luò)，這將大大提高DDoS的偵測(cè)和防御難度。

六、物聯(lián)網(wǎng)危機(jī)

智能兒童玩具被黑客入侵是2015年最火的物聯(lián)網(wǎng)安全事件之一，在此之前特斯拉和克萊斯勒汽車(chē)被黑客攻破也引起了軒然大波。這些都只是物聯(lián)網(wǎng)安全的冰山一角。嚴(yán)格意識(shí)上講，所用通過(guò)藍(lán)牙和WiFi連入互聯(lián)網(wǎng)的物聯(lián)網(wǎng)設(shè)備和APP都是不安全的，而這其中最人命關(guān)天的莫過(guò)于可遠(yuǎn)程訪(fǎng)問(wèn)的醫(yī)療設(shè)備，例如大量來(lái)女王的超聲波掃描儀等醫(yī)療設(shè)備都使用的是默認(rèn)的訪(fǎng)問(wèn)賬號(hào)密碼，非常容易被猜到。