【51CTO.com快译】这十类威胁、漏洞乃至薄弱环节时刻提醒着我们,计算机安全问题已经不再仅限于PC领域,而开始渗透到日常生活的方方面面。
新技术、新漏洞、新麻烦
一说起安全漏洞,大家首先想到的很可能是Windows平台上的安全短板或者是像Adobe Reader这类能够让黑客在我们的PC设备上肆虐的应用程序。然而时至今日,计算设备已经无处不在,而高度普及所带来的亦是更多安全方面的难题乃至挑战。
在今天的文章中,我们将共同探讨十种不容忽视的黑客活动及安全漏洞,它们将立足于新的层面向大家发起冲击——其中一些正以前所未见的方式疯狂袭来。
黑客将矛头指向车辆
在车载导航与信息系统深入提升驾驶体验的同时,它们也可能为我们的车辆开启了一道供安全问题出入的大门——而作为当事者,我们自己往往无此一无所知。
真实案例:今年七月,安全研究员Charlie Miller与Chris Valasek就设法通过互联网控制了一辆吉普切诺基车型的加速与刹车系统(包括其它一些系统)。这二位利用吉普汽车Uconnect内置信息娱乐系统中的一项漏洞实现了上述目标,并通过智能手机以远程方式在该车辆行进过程中强制进行刹车。
整个侵袭过程让Miller与Valasek耗费了三年的心力。虽然听起来可能性不高,但车载信息娱乐系统中的漏洞可能带来的安全隐患确实值得担忧,而且菲亚特-克莱斯勒公司也确实曾经召回过140万辆存在安全漏洞的车辆。
入侵电动滑板,让用户跟地面来个亲密接触
不过汽车可不是惟一存在潜在安全风险的交通工具。就在今年八月初,研究人员Richo Healy与Mike Ryan就演示了如何以远程方式通过入侵未受安全保护的蓝牙连接对电动滑板进行控制——非常遗憾,实验取得了圆满成功。
在此次演示中,他们将其称为FacePlant,Healy与Ryan利用一台笔记本电脑控制了一架Boosted牌电动滑板,突然进行制动,而后将其送往反方向。使用者当场飞离板体,如果在实际场景下,其必然会由于猛然着地而落得遍体鳞伤。
事实上,大家可能并不是很担心自己会成为黑客攻击电动滑板事故中的受害者,不过Healy与Ryan的研究结果应当为那些电动滑板、滑板车乃至自行车等产品的制造商敲响警钟。
恶意软件入侵BIOS
每当提起所谓恶意软件,我们首先想到的很可能是那些在操作系统层级上入侵PC设备的病毒、间谍软件乃至木马程序。然而目前已经出现了一类新兴恶意软件,且专门以PC设备中的底层固件作为攻击对象。
一种名为badBIOS的恶意软件就是如此,其并不仅会感染PC设备的BIOS,而且我们几乎无法将其彻底清除。根据研究人员的说法,badBIOS能够持续存在于我们的系统当中,即使对BIOS进行刷新也无济于事。结果就是,传统的检测与清理方案对于badBIOS根本不起作用。
由于这类恶意软件直接指向固件而绕过了操作系统,因此几乎每一台PC都会被其感染,即使全面消除了操作系统层面的恶意软件也起不到任何作用。举例来说,就在上个月,研究人员演示了如何利用该恶意软件攻击苹果公司在Mac设备上所使用的EFI固件。
恶意软件开始以无线方式进行传播——例如将声音作为载体
除了上一点之外,badBIOS还拥有另一项极为阴险的伎俩:尽管该恶意软件能够通过受感染的U盘进行传播,但研究人员认为其同时亦可以通过高频音频信号与其它受感染计算机进行通信。研究人员指出,这还仅仅是该恶意软件与其它受感染设备间实现通信的方式之一——换言之,badBIOS拥有多种不借助网络即可实现交互与传播的途径。
当U盘从便携存储工具变成恶意软件帮凶
恶意软件通过受感染文件在U盘之间进行传播早已不是什么新闻,而且只要我们采取谨慎的使用态度并配合出色的杀毒软件工具,那么这倒也算不上什么大麻烦。不过当U盘本身已经成为恶意工具,结果则将变得完全不同。
去年秋季两位安全研究人员打造出一套名为BadUSB的工具包,能够对U盘进行修改以实现各类恶意用途。利用BadUSB这样的攻击型技术,恶意软件传播者能够以前瞻性方式修改U盘内部的固件并借此迷惑PC设备,使后者将U盘误认为其它装置。
举例来说,IDC新闻服务公司的Lucian Constantin解释称,“接入计算机设备的U盘能够自动将配置文件传输至键盘处——包括发送相关按键内容以下载并安装恶意软件——或者冒充成网络控制器配置文件以劫持DNS设置。”
USB Killer令PC死无葬身之地
当然,BadUSB还仅仅是恶意U盘的实际体现之一——而另一种甚至有可能彻底摧毁用户的PC设备。
USB Killer是一种概念验证型攻击方案,攻击者可以利用它改造U盘硬件,从而使其向PC设备直接发送电流而非数据。经过改造的U盘能够导致各类电流反馈回路,并最终让电流强大到足以利用高电压击穿PC设备的内部元件。
WireLurker将魔爪伸向iPhone与Mac平台
而在移动恶意软件领域,iPhone成为一道公认的难以突破的障碍。不过这并不代表iOS就真的毫无破绽,事实上去年秋季,一场被称为WireLurker的攻击活动就得以利用受感染的OS X应用程序将恶意软件传输至iPhone中以擦除用户的个人数据——例如通话记录以及联系人信息等。而尤其值得强调的是,无论您的iPhone有没有进行越狱,都会受到该攻击的影响。
一旦WireLurker侵入了我们的Mac平台,它就会潜伏起来并静待用户将自己的iPhone通过USB接入计算机。一旦检测到越狱的iPhone,它会在设备之上搜索某些特定应用并利用受感染的版本进行替换。而在未越狱的手机当中,它则会利用一项特殊功能实现目的——该功能允许企业管理者在员工的iPhone设备上安装定制化应用程序。
苹果公司没有浪费时间,在研究人员发现这一恶意攻击之后很快将其修复。
你的GPU:恶意软件的下一个目标
今年三月,一群开发人员打造出名为JellyFish的概念验证型恶意软件,旨在演示恶意软件会以怎样的方式运行在PC设备的图形处理器之上。
虽然JellyFish只能算是证明此类攻击活动有可能存在的示例性成果,但采取此种机制的恶意软件确实非常有效,因为其能够非常轻松地侵入到运行有Windows、Linux或者OS X系统的设备当中。
驻留在GPU当中的恶意软件也很难被杀毒软件所察觉,不过McAfee公司最近发布的报告指出,其安全软件可能——注意,只是可能——能够将其检测出来。但愿未来的安全保护工具能够阻断这种新型威胁。
技术手段令家居保护体系沦为隐患
从理论层面来看,接入互联网的视频摄像头应该能够成为保护家居环境的得力助手——毕竟能够在身在它处时随时监控家中的一举一动简直可说是安全二字的至高境界。然而安全研究人员发现,那些所谓联网家居设备当中通常都存在着隐患,这意味着攻击者可能会借此窥探个人隐私或者侵入家居环境。
今年二月,安全厂商Synack公司就针对这类问题出具了一份研究报告。根据相关报道所言,Synack公司的研究人员发现“一长串安全问题,包括开放端口、内置后门以及缺乏加密等等。”而就在本月,研究人员们还成功侵入了九款联网婴儿监护摄像头——这样的现象实在令人忧心。
如果攻击者发现了利用远程方式控制联网家居设备的途径,则能够借此方式从家庭网络环境的计算设备中获取到用户的个人信息(例如用户名与密码等)。
计算设备与枪支的结合绝不是什么好主意
TrackingPoint公司曾经制造过一系列包含传感设备的计算机辅助步枪产品,旨在提高用户的射击精准度。而在今年的DEFCON大会以及去年在拉斯维加斯召开的黑帽大会上,安全研究人员Runa Sandvik与Michael Auger则演示了如何对TrackingPoint旗下的一款步枪进行入侵。
这两位研究人员通过步枪上的内置Wi-Fi接入点利用了系统中的一项漏洞,从而将射击目标由既定方向重新定向至其它位置——即潜在的其它对象或者受攻击者。
TrackingPoint公司针对这一状况作出了回应,表示“由于该枪支无法接入互联网,因此只能在被黑客以物理方式直接接触的情况下才会遭到入侵。因此,如果大家能够保证周围100英尺之内不存在黑客人士,则完全可以继续使用其内置的Wi-Fi机制(来下载图片或者连接至ShotView网站)。”
好吧,反正我个人是无法接受这样的说辞,不知道各位会有怎样的感觉。
原文标题:10 cutting-edge security threats
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】