不容忽视的十大前沿安全要挟

【51CTO.com快译】这十类威胁、破绽以致薄弱环节时刻提醒着咱们，盘算机安全问题曾经不再仅限于PC领域，而开始渗透到日常生活的方方面面。

新技巧、新破绽、新麻烦

一说起安全破绽，各人首先想到的很可能是Windows平台上的安全短板或许是像Adobe Reader这类能够让黑客在咱们的PC装备上肆虐的应用顺序。但是时至今日，盘算装备曾经无处不在，而高度普及所带来的亦是更多安全方面的难题以致挑战。

在今天的文章中，咱们将共同探讨十种不容忽视的黑客运动及安全破绽，它们将立足于新的层面向各人发起冲击——其中一些正以前所未见的方法疯狂袭来。

黑客将矛头指向车辆

在车载导航与信息体系深入提升驾驶体验的同时，它们也可能为咱们的车辆开启了一道供安全问题出入的大门——而作为当事者，咱们本人往往无此一无所知。

真实案例：往年七月，安全研讨员Charlie Miller与Chris Valasek就设法经由互联网控制了一辆吉普切诺基车型的加速与刹车体系(包含别的一些体系)。这二位应用吉普汽车Uconnect内置信息娱乐体系中的一项破绽实现了上述目的，并经由智能手机以近程方法在该车辆行进进程中强制执行刹车。

整个侵袭进程让Miller与Valasek耗费了三年的心力。虽然听起来可能性不高，但车载信息娱乐体系中的破绽可能带来的安全隐患确切值得担忧，并且菲亚特-克莱斯勒公司也确切曾经召回过140万辆存在安全破绽的车辆。

入侵电动滑板，让用户跟地面来个亲密接触

不外汽车可不是惟一存在潜在安全风险的交通东西。就在往年八月初，研讨职员Richo Healy与Mike Ryan就演示了怎样以近程方法经由入侵未受安全掩护的蓝牙连接对电动滑板执行控制——非常遗憾，实验取得了圆满成功。

在此次演示中，他们将其称为FacePlant，Healy与Ryan应用一台笔记本电脑控制了一架Boosted牌电动滑板，突然执行制动，而后将其送往反方向。应用者当场飞离板体，假如在实际场景下，其必然会因为猛然着地而落得遍体鳞伤。

事实上，各人可能并不是很担心本人会成为黑客攻打电动滑板事故中的受害者，不外Healy与Ryan的研讨成果应当为那些电动滑板、滑板车以致自行车等产品的制造商敲响警钟。

歹意软件入侵BIOS

每当提起所谓歹意软件，咱们首先想到的很可能是那些在操作体系层级上入侵PC装备的病毒、间谍软件以致木马顺序。但是目前曾经出现了一类新兴歹意软件，且专门以PC装备中的底层固件作为攻打对象。

一种名为badBIOS的歹意软件就是如此，其并不仅会沾染PC装备的BIOS，并且咱们几乎无奈将其彻底清除。根据研讨职员的说法，badBIOS能够持续存在于咱们的体系傍边，即使对BIOS执行刷新也无济于事。成果就是，传统的检测与清理方案对于badBIOS根本不起作用。

因为这类歹意软件直接指向固件而绕过了操作体系，因而几乎每一台PC都会被其沾染，即使全面消除了操作体系层面的歹意软件也起不到任何作用。举例来说，就在上个月，研讨职员演示了怎样应用该歹意软件攻打苹果公司在Mac装备上所应用的EFI固件。

歹意软件开始以无线方法执行流传——比方将声音作为载体

除了上一点之外，badBIOS还拥有另一项极为阴险的伎俩：尽管该歹意软件能够经由受沾染的U盘执行流传，但研讨职员认为其同时亦能够经由高频音频信号与别的受沾染盘算机执行通信。研讨职员指出，这还仅仅是该歹意软件与别的受沾染装备间实现通信的方法之一——换言之，badBIOS拥有多种不借助收集即可实现交互与流传的途径。

当U盘从便携存储东西变成歹意软件帮凶

歹意软件经由受沾染文件在U盘之间执行流传早已不是什么新闻，并且只要咱们采用谨慎的应用态度并配合出色的杀毒软件东西，那么这倒也算不上什么大麻烦。不外当U盘本身曾经成为歹意东西，成果则将变得完全不同。

客岁秋季两位安全研讨职员打造出一套名为BadUSB的东西包，能够对U盘执行修改以实现各种歹意用途。应用BadUSB如许的攻打型技巧，歹意软件流传者能够以前瞻性方法修改U盘内部的固件并借此迷惑PC装备，使后者将U盘误认为别的装置。

举例来说，IDC新闻服务公司的Lucian Constantin解释称，“接入盘算机装备的U盘能够自动将设置文件传输至键盘处——包含发送相关按键内容以下载并安装歹意软件——或许冒充成收集控制器设置文件以劫持DNS设置。”

USB Killer令PC死无葬身之地

当然，BadUSB还仅仅是歹意U盘的实际体现之一——而另一种甚至有可能彻底摧毁用户的PC装备。

USB Killer是一种概念验证型攻打方案，攻打者能够应用它改造U盘硬件，从而使其向PC装备直接发送电流而非数据。经过改造的U盘能够导致各种电流反馈回路，并最终让电流强大到足以应用高电压击穿PC装备的内部元件。

WireLurker将魔爪伸向iPhone与Mac平台

而在移动歹意软件领域，iPhone成为一道公认的难以突破的障碍。不外这并不代表iOS就真的毫无破绽，事实上客岁秋季，一场被称为WireLurker的攻打运动就得以应用受沾染的OS X应用顺序将歹意软件传输至iPhone中以擦除用户的团体数据——比方通话记录以及联系人信息等。而尤其值得强调的是，无论您的iPhone有没有执行逃狱，都会受到该攻打的影响。

一旦WireLurker侵入了咱们的Mac平台，它就会潜伏起来并静待用户将本人的iPhone经由USB接入盘算机。一旦检测到逃狱的iPhone，它会在装备之上搜索某些特定应用并应用受沾染的版本执行替换。而在未逃狱的手机傍边，它则会应用一项特殊功效实现目的——该功效允许企业管理者在员工的iPhone装备上安装定制化应用顺序。

苹果公司没有浪费时间，在研讨职员发明这一歹意攻打之后很快将其修复。

你的GPU：歹意软件的下一个目的

往年三月，一群开发职员打造出名为JellyFish的概念验证型歹意软件，旨在演示歹意软件会以怎样的方法运转在PC装备的图形处理器之上。

虽然JellyFish只能算是证明此类攻打运动有可能存在的示例性成果，但采用此种机制的歹意软件确切非常有效，因为其能够非常轻松地侵入到运转有Windows、Linux或许OS X体系的装备傍边。

驻留在GPU傍边的歹意软件也很难被杀毒软件所察觉，不外McAfee公司最近发布的报告指出，其安全软件可能——注意，只是可能——能够将其检测出来。但愿未来的安全掩护东西能够阻断这种新型威胁。

技巧手段令家居掩护体系沦为隐患

从理论层面来看，接入互联网的视频摄像头应该能够成为掩护家居情况的得力助手——毕竟能够在身在它处时随时监控家中的一举一动简直可说是安全二字的至高境界。但是安全研讨职员发明，那些所谓联网家居装备傍边通常都存在着隐患，这意味着攻打者可能会借此窥探团体隐私或许侵入家居情况。

往年二月，安全厂商Synack公司就针对这类问题出具了一份研讨报告。根据相关报道所言，Synack公司的研讨职员发明“一长串安全问题，包含开放端口、内置后门以及缺乏加密等等。”而就在本月，研讨职员们还成功侵入了九款联网婴儿监护摄像头——如许的现象实在令人忧心。

假如攻打者发明了应用近程方法控制联网家居装备的途径，则能够借此方法从家庭收集情况的盘算装备中获取到用户的团体信息(比方用户名与密码等)。

盘算装备与枪支的结合绝不是什么好主意

TrackingPoint公司曾经制造过一系列包含传感装备的盘算机辅助步枪产品，旨在提高用户的射击精准度。而在往年的DEFCON大会以及客岁在拉斯维加斯召开的黑帽大会上，安全研讨职员Runa Sandvik与Michael Auger则演示了怎样对TrackingPoint旗下的一款步枪执行入侵。

这两位研讨职员经由步枪上的内置Wi-Fi接入点应用了体系中的一项破绽，从而将射击目的由既定方向重新定向至别的位置——即潜在的别的对象或许受攻打者。

TrackingPoint公司针对这一状况作出了回应，表示“因为该枪支无奈接入互联网，因而只能在被黑客以物理方法直接接触的情况下才会遭到入侵。因而，假如各人能够保证周围100英尺之内不存在黑客人士，则完全能够继续应用其内置的Wi-Fi机制(来下载图片或许连接至ShotView网站)。”

好吧，反正我团体是无奈接受如许的说辞，不知道各位会有怎样的感觉。

原文标题：10 cutting-edge security threats

【编辑推荐】

【51CTO译稿，合作站点转载请注明原文译者和出处为51CTO.com】

转载自:https://netsecurity.51cto.com/art/201510/493246.htm

声明: 除非转自他站（如有侵权，请联系处理）外，本文采用 BY-NC-SA 协议进行授权 | 嗅谱网
转载请注明：转自《不容忽视的十大前沿安全要挟》
本文地址：http://www.xiupu.net/archives-4954.html
关注公众号：