【51CTO.com快譯】這十類威脅、漏洞乃至薄弱環(huán)節(jié)時刻提醒著我們，計算機安全問題已經(jīng)不再僅限于PC領域，而開始滲透到日常生活的方方面面。

新技術、新漏洞、新麻煩

[[151082]]

一說起安全漏洞，大家首先想到的很可能是Windows平臺上的安全短板或者是像Adobe Reader這類能夠讓黑客在我們的PC設備上肆虐的應用程序。然而時至今日，計算設備已經(jīng)無處不在，而高度普及所帶來的亦是更多安全方面的難題乃至挑戰(zhàn)。

在今天的文章中，我們將共同探討十種不容忽視的黑客活動及安全漏洞，它們將立足于新的層面向大家發(fā)起沖擊——其中一些正以前所未見的方式瘋狂襲來。

黑客將矛頭指向車輛

[[151083]]

在車載導航與信息系統(tǒng)深入提升駕駛體驗的同時，它們也可能為我們的車輛開啟了一道供安全問題出入的大門——而作為當事者，我們自己往往無此一無所知。

真實案例：今年七月，安全研究員Charlie Miller與Chris Valasek就設法通過互聯(lián)網(wǎng)控制了一輛吉普切諾基車型的加速與剎車系統(tǒng)(包括其它一些系統(tǒng))。這二位利用吉普汽車Uconnect內(nèi)置信息娛樂系統(tǒng)中的一項漏洞實現(xiàn)了上述目標，并通過智能手機以遠程方式在該車輛行進過程中強制進行剎車。

整個侵襲過程讓Miller與Valasek耗費了三年的心力。雖然聽起來可能性不高，但車載信息娛樂系統(tǒng)中的漏洞可能帶來的安全隱患確實值得擔憂，而且菲亞特-克萊斯勒公司也確實曾經(jīng)召回過140萬輛存在安全漏洞的車輛。

入侵電動滑板，讓用戶跟地面來個親密接觸

[[151084]]

不過汽車可不是惟一存在潛在安全風險的交通工具。就在今年八月初，研究人員Richo Healy與Mike Ryan就演示了如何以遠程方式通過入侵未受安全保護的藍牙連接對電動滑板進行控制——非常遺憾，實驗取得了圓滿成功。

在此次演示中，他們將其稱為FacePlant，Healy與Ryan利用一臺筆記本電腦控制了一架Boosted牌電動滑板，突然進行制動，而后將其送往反方向。使用者當場飛離板體，如果在實際場景下，其必然會由于猛然著地而落得遍體鱗傷。

事實上，大家可能并不是很擔心自己會成為黑客攻擊電動滑板事故中的受害者，不過Healy與Ryan的研究結(jié)果應當為那些電動滑板、滑板車乃至自行車等產(chǎn)品的制造商敲響警鐘。

惡意軟件入侵BIOS

每當提起所謂惡意軟件，我們首先想到的很可能是那些在操作系統(tǒng)層級上入侵PC設備的病毒、間諜軟件乃至木馬程序。然而目前已經(jīng)出現(xiàn)了一類新興惡意軟件，且專門以PC設備中的底層固件作為攻擊對象。

一種名為badBIOS的惡意軟件就是如此，其并不僅會感染PC設備的BIOS，而且我們幾乎無法將其徹底清除。根據(jù)研究人員的說法，badBIOS能夠持續(xù)存在于我們的系統(tǒng)當中，即使對BIOS進行刷新也無濟于事。結(jié)果就是，傳統(tǒng)的檢測與清理方案對于badBIOS根本不起作用。

由于這類惡意軟件直接指向固件而繞過了操作系統(tǒng)，因此幾乎每一臺PC都會被其感染，即使全面消除了操作系統(tǒng)層面的惡意軟件也起不到任何作用。舉例來說，就在上個月，研究人員演示了如何利用該惡意軟件攻擊蘋果公司在Mac設備上所使用的EFI固件。

惡意軟件開始以無線方式進行傳播——例如將聲音作為載體

[[151085]]

除了上一點之外，badBIOS還擁有另一項極為陰險的伎倆：盡管該惡意軟件能夠通過受感染的U盤進行傳播，但研究人員認為其同時亦可以通過高頻音頻信號與其它受感染計算機進行通信。研究人員指出，這還僅僅是該惡意軟件與其它受感染設備間實現(xiàn)通信的方式之一——換言之，badBIOS擁有多種不借助網(wǎng)絡即可實現(xiàn)交互與傳播的途徑。

當U盤從便攜存儲工具變成惡意軟件幫兇

[[151086]]

惡意軟件通過受感染文件在U盤之間進行傳播早已不是什么新聞，而且只要我們采取謹慎的使用態(tài)度并配合出色的殺毒軟件工具，那么這倒也算不上什么大麻煩。不過當U盤本身已經(jīng)成為惡意工具，結(jié)果則將變得完全不同。

去年秋季兩位安全研究人員打造出一套名為BadUSB的工具包，能夠?qū)盤進行修改以實現(xiàn)各類惡意用途。利用BadUSB這樣的攻擊型技術，惡意軟件傳播者能夠以前瞻性方式修改U盤內(nèi)部的固件并借此迷惑PC設備，使后者將U盤誤認為其它裝置。

舉例來說，IDC新聞服務公司的Lucian Constantin解釋稱，“接入計算機設備的U盤能夠自動將配置文件傳輸至鍵盤處——包括發(fā)送相關按鍵內(nèi)容以下載并安裝惡意軟件——或者冒充成網(wǎng)絡控制器配置文件以劫持DNS設置。”

USB Killer令PC死無葬身之地

[[151087]]

當然，BadUSB還僅僅是惡意U盤的實際體現(xiàn)之一——而另一種甚至有可能徹底摧毀用戶的PC設備。

USB Killer是一種概念驗證型攻擊方案，攻擊者可以利用它改造U盤硬件，從而使其向PC設備直接發(fā)送電流而非數(shù)據(jù)。經(jīng)過改造的U盤能夠?qū)е赂黝愲娏鞣答伝芈?，并最終讓電流強大到足以利用高電壓擊穿PC設備的內(nèi)部元件。

WireLurker將魔爪伸向iPhone與Mac平臺

[[151088]]

而在移動惡意軟件領域，iPhone成為一道公認的難以突破的障礙。不過這并不代表iOS就真的毫無破綻，事實上去年秋季，一場被稱為WireLurker的攻擊活動就得以利用受感染的OS X應用程序?qū)阂廛浖鬏斨羒Phone中以擦除用戶的個人數(shù)據(jù)——例如通話記錄以及聯(lián)系人信息等。而尤其值得強調(diào)的是，無論您的iPhone有沒有進行越獄，都會受到該攻擊的影響。

一旦WireLurker侵入了我們的Mac平臺，它就會潛伏起來并靜待用戶將自己的iPhone通過USB接入計算機。一旦檢測到越獄的iPhone，它會在設備之上搜索某些特定應用并利用受感染的版本進行替換。而在未越獄的手機當中，它則會利用一項特殊功能實現(xiàn)目的——該功能允許企業(yè)管理者在員工的iPhone設備上安裝定制化應用程序。

蘋果公司沒有浪費時間，在研究人員發(fā)現(xiàn)這一惡意攻擊之后很快將其修復。

你的GPU：惡意軟件的下一個目標

[[151089]]

今年三月，一群開發(fā)人員打造出名為JellyFish的概念驗證型惡意軟件，旨在演示惡意軟件會以怎樣的方式運行在PC設備的圖形處理器之上。

雖然JellyFish只能算是證明此類攻擊活動有可能存在的示例性成果，但采取此種機制的惡意軟件確實非常有效，因為其能夠非常輕松地侵入到運行有Windows、Linux或者OS X系統(tǒng)的設備當中。

駐留在GPU當中的惡意軟件也很難被殺毒軟件所察覺，不過McAfee公司最近發(fā)布的報告指出，其安全軟件可能——注意，只是可能——能夠?qū)⑵錂z測出來。但愿未來的安全保護工具能夠阻斷這種新型威脅。

技術手段令家居保護體系淪為隱患

[[151090]]

從理論層面來看，接入互聯(lián)網(wǎng)的視頻攝像頭應該能夠成為保護家居環(huán)境的得力助手——畢竟能夠在身在它處時隨時監(jiān)控家中的一舉一動簡直可說是安全二字的至高境界。然而安全研究人員發(fā)現(xiàn)，那些所謂聯(lián)網(wǎng)家居設備當中通常都存在著隱患，這意味著攻擊者可能會借此窺探個人隱私或者侵入家居環(huán)境。

今年二月，安全廠商Synack公司就針對這類問題出具了一份研究報告。根據(jù)相關報道所言，Synack公司的研究人員發(fā)現(xiàn)“一長串安全問題，包括開放端口、內(nèi)置后門以及缺乏加密等等。”而就在本月，研究人員們還成功侵入了九款聯(lián)網(wǎng)嬰兒監(jiān)護攝像頭——這樣的現(xiàn)象實在令人憂心。

如果攻擊者發(fā)現(xiàn)了利用遠程方式控制聯(lián)網(wǎng)家居設備的途徑，則能夠借此方式從家庭網(wǎng)絡環(huán)境的計算設備中獲取到用戶的個人信息(例如用戶名與密碼等)。

計算設備與槍支的結(jié)合絕不是什么好主意

[[151091]]

TrackingPoint公司曾經(jīng)制造過一系列包含傳感設備的計算機輔助步槍產(chǎn)品，旨在提高用戶的射擊精準度。而在今年的DEFCON大會以及去年在拉斯維加斯召開的黑帽大會上，安全研究人員Runa Sandvik與Michael Auger則演示了如何對TrackingPoint旗下的一款步槍進行入侵。

這兩位研究人員通過步槍上的內(nèi)置Wi-Fi接入點利用了系統(tǒng)中的一項漏洞，從而將射擊目標由既定方向重新定向至其它位置——即潛在的其它對象或者受攻擊者。

TrackingPoint公司針對這一狀況作出了回應，表示“由于該槍支無法接入互聯(lián)網(wǎng)，因此只能在被黑客以物理方式直接接觸的情況下才會遭到入侵。因此，如果大家能夠保證周圍100英尺之內(nèi)不存在黑客人士，則完全可以繼續(xù)使用其內(nèi)置的Wi-Fi機制(來下載圖片或者連接至ShotView網(wǎng)站)。”

好吧，反正我個人是無法接受這樣的說辭，不知道各位會有怎樣的感覺。

原文標題：10 cutting-edge security threats

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】