2016年我们将面对的六大移动安全威胁-阿里云开发者社区

开发者社区> 云栖大讲堂> 正文

2016年我们将面对的六大移动安全威胁

简介:
+关注继续查看

在我们即将进入2016年之际,我的安全团队和我正在编辑一份预测报告,关于移动安全发展趋势以及对我们影响最大的各种漏洞。我列出这些威胁不是为了加大恐慌程度,而是想列出我们在接下来的一年里可能会遇到的严重安全威胁。并且希望,这份报告可以促使行业提前做好准备。有了适当的预防措施后,大部分威胁的危害都能够降到最小,或者被提前处理。

  1.恐怖主义

在巴黎和圣贝纳迪诺发生的恐怖袭击,以及发生在世界其他地方的恐怖袭击,致使了恐怖主义在新一年将成为移动安全的隐患所在。我们可以看到,为了防止被窃听,Telegram和 Redphone-type通信软件所使用的端到端加密保护程序越来越普遍。我的团队一直在追踪那些看起来合法的应用程序,罪犯会使用这软件与别人沟通,但是时间非常短暂。(有时候他们只使用一次)

展望未来,我们预测恐怖分子会利用主流媒体服务,比如YouTube,通过将数据与视频做整合,掩饰他们的通信交流。例如,特殊的音频频率正常人无法听到或辨识,但是可以通过一个特殊的监听程序将频率改变。

  2.黑客攻击移动支付服务

根据黑帽黑客使用的通信频道的反馈,在2016年,领先的移动支付平台如Apple Pay或者Samsung Pay将会受到严重破坏。这可能不会直接破坏支付平台的处理算法,但是会通过对整个系统分析,确定并利用其他的支路或漏洞,从而导致信用卡信息诈骗、勒索以及未经授权使用。我们已经看到,被盗的信用卡可以成功添加到ApplePay的账户中,即使没有银行授权,骗子可以使用被盗的银行卡在实体店使用。很快,类似的技术将有可能用于在线交易。

苹果和三星并不是目标中唯一的公司,对等网络移动支付软件如Venmo,使用简单的汇款程序,这使得其更易受到黑客的攻击,黑客可以将资金从用户的账户中转移到一个他们可以访问的虚拟账户中。(我们一直在暗中监视这种活动,但是至今还不清楚是否这些攻击是否已经成功。)

  3.移动网页黑客攻击的趋势上扬

我们预计Chrome、Firefox 、Safari浏览器的移动版本以及安卓或iPhone的相关操作系统在接下来的几个月中将会遭到频繁的攻击。黑客通过攻击移动浏览器是一种破解整个系统最有效的方式,因为浏览器存在的漏洞会让黑客绕过系统的安全措施。下面将会告诉你他们如何运作:

基于Webkit的漏洞会允许黑客绕过浏览器的沙箱,或者建立在现代浏览器中的安全措施。这将最有可能通过OS/kernel-level开发组件获取系统的访问权限,并且完全控制设备。

Stagefright就是一个OS-level的程序,它是安卓OS系统的数据库中的一个漏洞。虽然谷歌在今年夏天已经发布了针对这个问题的漏洞,Zimperium在今年10月发布了名为Stagefright 2.0的补丁,当其应用到网页浏览器中的时候,它变得非常可靠。

我们预测在接下来的一年中,将有越来越多的漏洞出现,这些漏洞被利用的范围也会变得更加广泛。

  4.远程设备控制/窃听

由于安卓设备的发展,世界上数十亿人很快拥有了自己的智能手机。大多数手机都拥有预装程序,并且这些程序普遍都没有经过谷歌安全团队的分析和检测,然而,这就会使手机受到远程控制。原始设备制造商定制的开放性的安卓手机会继续恶化这一威胁,所以我们也希望原始设备制造商能够频繁进行安全升级。

与此相关的是中间人攻击的趋势上升。新型智能手机的用户往往不了解或者对他们的手机缺少足够的安全保护。例如,他们会让手机自动接入不安全的AP/WiFi连接,这些网络连接对传输的数据都不加密。这就会使不安全的程序泄露用户的证书,黑客利用证书可以“看到”移动设备传输数据。

另一个值得关注的是,黑客有能力窃听谈话以及看到用户收发的信息。我的同事Daniel Komaromy和 Nico Golde最近的研究证明了一个简单的中间人攻击如何对三星的Shannon基带芯片产生影响。这个漏洞让黑客有能力监听这些设备的通话。

 5.DDoS攻击:进化

到目前为止,大多数拒绝服务攻击已经比较罕见了,而且影响力也很短暂,大多数互联网企业都可以处理这种攻击。然而,移动设备和其他网络连接设备让DDoS得以发展。我们开始看到一些设备被控制,变成了DDoS bots,因此要增加屏障用来检测和预防这类攻击。我们应该对这类攻击有所提防,预防的速度要与新的互联网设备进入市场的速率大致相同。

  6.物联网

互联网连接的医疗设备因为安全方面的低配置,变得臭名昭著,因为这使得黑客可以远程控制这些设备。例如,网络化的超声波扫描仪以及其他医疗设备,往往有一个硬编码的网络登录密码,用来远程登录,而且这个密码很好猜。在2013年,我的同事Jay Radcliff证明了了一个胰岛素泵的控制程序可能会被篡改,导致胰岛素过量。这真是相当讽刺,挽救我们生命的设备也可能伤害我们。

所有的指一切都可能在未来造成一个恒定的安全威胁,但是我在开头就说过,好消息是,对于我所列出的漏洞,有一些直接积极的步骤,我真心希望现在的组织可以立刻采纳我的这一列表。安全与黑客的发展趋势将会一夜之间改变,那些安全团队在2年前采取的措施现在已经远远不够,在2016年当然更加不足。


原文发布时间为:2016-01-04

本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。





版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
10326 0
《iOS取证实战:调查、分析与移动安全》一2.4 安全
本节书摘来自华章出版社《iOS取证实战:调查、分析与移动安全》一书中的第2章,第2.4节,作者(美)Andrew Hoog Katie Strzempka,更多章节内容可以访问云栖社区“华章计算机”公众号查看
1065 0
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
11887 0
阿里移动安全陈树华:安全的最高境界是无感知
导语:这是篇近万字的采访,探寻了阿里移动安全负责人陈树华如何从从零开始,打造阿里生态中最具重要一环——安全产品的文章。 在采访中,陈树华解释了自己为什么要从腾讯来到阿里,他认为,阿里有做真正安全产品的好土壤,能够把安全和业务深度融合,捍卫用户的价值。
2705 0
+关注
云栖大讲堂
擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
3918
文章
1754
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载