Miranda 每当涉及计算机安全问题,我们总会联想到电脑。而随着科技发展,本文总结的十大前沿安全威胁已经不再局限于PC领域,而是逐渐深入到人们日常生活的方方面面,所谓“防不胜防”。在今天的文章中,我们将共同讨论十种不容忽视的黑客活动和安全漏洞,它们将立足新的高度向大家发起攻击,其中一些正以前所未见的方式疯狂袭来。
1.黑客将矛头指向车辆
随着计算机技术在车辆中的广泛应用,黑客也将攻击矛头指向了车辆。在车载导航与信息系统深入提升驾驶体验的同时,它们也为我们带来了新的安全威胁。而作为当局者,我们往往一无所知。据报道,今年7月份,安全研究员Charlie Miller与Chris Valasek设法通过互联网控制了一辆吉普切诺基车型的加速与刹车系统(包括其它一些系统)。这二位利用吉普汽车Uconnect内置信息娱乐系统中的一项漏洞实现了上述目标,并通过智能手机以远程方式在该车辆行进过程中强制进行刹车。
虽然整个侵袭过程让Miller与Valasek耗费了三年心血,听起来可能性并不高。但车载信息娱乐系统中的漏洞可能带来的安全隐患很值得担忧,而且菲亚特-克莱斯勒公司也确实召回过140万辆存在安全漏洞的车辆。
2.入侵电动滑板,用户面临摔伤风险
除了汽车,电动滑板也难道一劫。今年8月初,研究人员Richo Healy与Mike Ryan就演示了如何以远程方式通过入侵未受安全保护的蓝牙连接对电动滑板进行控制,而且实验取得了圆满成功。
在此次演示中,他们将其称为FacePlant,研究员Healy与Ryan利用一台笔记本电脑控制了一架Boosted牌电动滑板,突然进行制动,而后将其送往反方向,使用者当场人板分离。如果在实际场景种,必然会对用户造成无法预测的伤害。
3.恶意软件入侵BIOS
每当提起恶意软件,我们首先想到的可能是那些在操作系统层级上入侵PC设备的病毒、间谍软件或木马程序。然而目前已经出现了一类新兴恶意软件,专门以PC设备中的底层固件作为攻击对象。
一种名为badBIOS的恶意软件就是一个典型的例子。其并不仅会感染PC设备的BIOS,而且几乎无法被彻底清除。根据研究人员的报道,badBIOS能够持续存在于我们的系统当中,即使对BIOS进行刷新也无济于事。结果就是,传统的检测与清理方案对于badBIOS根本不起作用。
由于这类恶意软件直接指向固件而绕过了操作系统,因此几乎每一台PC都会被感染,即使全面消除了操作系统层面的恶意软件也没有任何作用。举例来说,就在上个月,研究人员演示了如何利用该恶意软件攻击苹果公司在Mac设备上所使用的EFI固件。
4.恶意软件开始以无线方式进行传播——例如将声音作为载体
除了上一点之外,badBIOS还拥有另一项极为阴险的伎俩:尽管该恶意软件能够通过受感染的U盘进行传播,但研究人员认为其同时亦可以通过高频音频信号与其它受感染计算机进行通信。研究人员指出,这还仅仅是该恶意软件与其它受感染设备间实现通信的方式之一——换言之,badBIOS拥有多种不借助网络即可实现交互与传播的途径。
5.U盘变身恶意软件帮凶
通过受感染文件在U盘之间传播恶意软件是再常见不过的情况,只要我们采取谨慎的使用态度并配合出色的杀毒软件,这种情况基本上不是特别麻烦。不过当U盘本身成为恶意软件工具,结果则大相径庭。
有报道称,去年秋季两位安全研究人员打造出一套名为BadUSB的工具包,能够对U盘进行修改以实现各类恶意用途。利用BadUSB这样的攻击型技术,恶意软件传播者能够以前瞻性方式修改U盘内部的固件并借此迷惑PC设备,使后者将U盘误认为其它装置。
6.USB Killer令PC死无葬身之地
实际上,BadUSB还仅仅是恶意U盘的实际体现之一,另一种甚至有可能彻底摧毁用户的PC设备。
USB Killer是一种概念验证型攻击方案,攻击者可以利用它改造U盘硬件,从而使其向PC设备直接发送电流而非数据。经过改造的U盘能够导致各类电流反馈回路,并最终让电流强大到足以利用高电压击穿PC设备的内部元件。小编只想说,听起来真的很恐怖。
7.iPhone与Mac平台也无一幸免
在移动恶意软件领域,iPhone被大家公认为是一道难以突破的障碍,很多用户可能就是奔着苹果高度的安全性才选择的。但近些年来,iPhone应该程序以及Mac平台接连遭到各种黑客攻击。去年秋季的WireLurker攻击活动尤为典型,其利用受感染的OS X应用程序将恶意软件传输至iPhone中以擦除用户的个人数据,例如通话记录以及联系人等。值得强调的是,无论您的iPhone是否越狱,都会收到该攻击。
一旦WireLurker侵入了Mac平台,它就会潜伏起来并静待用户将自己的iPhone通过USB接入计算机。一旦检测到越狱的iPhone,它会在设备之上搜索某些特定应用并利用受感染的版本进行替换。而在未越狱的手机当中,它则会利用一项特殊功能实现目的——该功能允许企业管理者在员工的iPhone设备上安装定制化应用程序。
好在苹果及时发现了这一恶意攻击,并很快将其修复。
8.GPU将恶意软件的下一个目标
今年三月,一群开发人员打造出名为JellyFish的概念验证型恶意软件,旨在演示恶意软件会以怎样的方式运行在PC设备的图形处理器之上。
虽然JellyFish只能算是证明此类攻击活动有可能存在的示例性成果,但采取此种机制的恶意软件确实非常有效,因为其能够非常轻松地侵入到运行有Windows、Linux或者OS X系统的设备当中。
驻留在GPU当中的恶意软件也很难被杀毒软件所察觉,不过McAfee公司最近发布的报告指出,其安全软件可能,注意,只是可能——将其检测出来。但愿未来的安全保护工具能够阻断这种新型威胁。
9.联网家居设备存在安全隐患
现在很多家庭为了安全起见,都安装了接入互联网的视频摄像头。按理说这应该能够成为安全性非常高的保护家居环境的得力助手——毕竟可以随时监控家中的一举一动。然而安全研究人员发现,那些所谓联网家居设备当中通常都存在着各种隐患,这意味着攻击者可能会借此窥探个人隐私或者侵入家居环境。
今年二月,研究人员成功侵入了九款联网婴儿监护摄像头,这样的发现实在令人忧心。如果攻击者发现了利用远程方式控制联网家居设备的途径,则能够借此方式从家庭网络环境的计算设备中获取到用户的个人信息(例如用户名与密码等)。而这种行为带来的后果,令人不堪设想。
10.计算设备搭配枪支——为虎作伥
TrackingPoint公司曾经制造过一系列包含传感设备的计算机辅助步枪产品,旨在提高用户的射击精准度。而在今年的DEFCON大会以及去年在拉斯维加斯召开的黑帽大会上,安全研究人员Runa Sandvik与Michael Auger则演示了如何对TrackingPoint旗下的一款步枪进行入侵。
这两位研究人员通过步枪上的内置Wi-Fi接入点利用了系统中的一项漏洞,从而将射击目标由既定方向重新定向至其它位置——即潜在的其它对象或者受攻击者。
TrackingPoint公司针对这一状况作出了回应,表示“由于该枪支无法接入互联网,因此只能在被黑客以物理方式直接接触的情况下才会遭到入侵。因此,如果大家能够保证周围100英尺之内不存在黑客人士,则完全可以继续使用其内置的Wi-Fi机制来下载图片或者连接至ShotView网站。”
