2015年已經(jīng)過去，這一年間發(fā)生了很多令我們很震驚的事件，透過這些大事件和漏洞，我們可以預(yù)測(cè)一下2016年移動(dòng)安全趨勢(shì)和可能存在的安全威脅。

1. 恐怖威脅

 [[161230]]

巴黎恐怖襲擊事件雖然已經(jīng)過去1個(gè)月，但人們恐慌的表情依然歷歷在目，猜想恐怖襲擊可能會(huì)在2016年蔓延至移動(dòng)安全領(lǐng)域。未來像Telegram和Redphone之類的通信應(yīng)用將使用端對(duì)端的加密躲避通信竊聽行為，但我們的團(tuán)隊(duì)還是發(fā)現(xiàn)了一些被網(wǎng)絡(luò)犯罪分子用于通信的應(yīng)用。

我們預(yù)測(cè)恐怖主義者會(huì)利用主要的媒體網(wǎng)站，如利用YouTube視頻隱藏?cái)?shù)據(jù)。特殊頻率的音頻是不會(huì)被一般用戶聽到或者理解的，但可以通過特殊的監(jiān)聽程序破譯。

2. 移動(dòng)支付服務(wù)將是下一個(gè)重點(diǎn)目標(biāo)

基于黑帽大會(huì)上通道雜音的研究，也預(yù)示著2016年移動(dòng)支付平臺(tái)(蘋果支付或者三星支付)很可能會(huì)被黑客攻破。這種事情很可能發(fā)生，可能不會(huì)完全入侵他們的支付操作算法，但通過對(duì)整個(gè)系統(tǒng)的分析我們發(fā)現(xiàn)了一些繞過策略和漏洞，可導(dǎo)致信用卡信息偽造、敲詐勒索、未授權(quán)使用。并且我們已經(jīng)知道怎樣將偷來的信用卡信息成功添加到蘋果支付賬戶中而且不需要銀行的驗(yàn)證，詐騙者可以用偷來的信用卡信息在傳統(tǒng)的商店中進(jìn)行消費(fèi)。

存在這種問題的企業(yè)不止蘋果和三星兩家，像Venmo這種端對(duì)端移動(dòng)支付應(yīng)用使用的簡(jiǎn)單支付匯款流程會(huì)更加容易被黑客攻擊。

3. 手機(jī)瀏覽器攻擊更加頻繁

移動(dòng)版本的chrome、Firefox、Safari以及與andriod和iPhone相關(guān)核心程序?qū)?huì)是接下來幾個(gè)月內(nèi)黑客攻擊的重點(diǎn)。通過瀏覽器入侵手機(jī)是目前入侵整個(gè)手機(jī)最為有效的方式，因?yàn)楹诳屠脼g覽器漏洞可以繞過許多系統(tǒng)級(jí)別的安全防護(hù)策略。舉例如下：

(1)基于Webkit 的exp可繞過瀏覽器沙盒，或者瀏覽器內(nèi)置的安全策略。

(2)安卓操作系統(tǒng)中的Stagefright漏洞，一條彩信即可控制整個(gè)設(shè)備。盡管谷歌很快就發(fā)布了修復(fù)補(bǔ)丁，但Zimperium之后又發(fā)現(xiàn)了Stagefright 2.0漏洞。

 [[161231]]

4. 越來越多的設(shè)備會(huì)被遠(yuǎn)程劫持

隨著安卓設(shè)備數(shù)量急劇增加，全球數(shù)十億的人口都會(huì)配有智能手機(jī)。大部分的設(shè)備上都會(huì)預(yù)裝一些應(yīng)用，他們基本上都沒有經(jīng)過谷歌安全團(tuán)隊(duì)的分析和驗(yàn)證，正因?yàn)檫@些應(yīng)用的存在導(dǎo)致設(shè)備可能會(huì)被遠(yuǎn)程劫持。安卓智能手機(jī)廠商的這種開放可定制化的功能將會(huì)繼續(xù)，意味著安全威脅會(huì)更加的嚴(yán)重，因此我們期望手機(jī)廠商能及時(shí)發(fā)布更新或者補(bǔ)丁。

這種情況還可能滋生中間人攻擊的威脅。智能手機(jī)新用戶往往不會(huì)意識(shí)到也沒有足夠安全的使用習(xí)慣，因此他們會(huì)訪問不安全的WiFi網(wǎng)絡(luò)(不會(huì)對(duì)通信數(shù)據(jù)進(jìn)行加密)，從而泄露他們的憑證。

另外一個(gè)問題是，攻擊者還有能力竊聽用戶的對(duì)話或者發(fā)送/接收到的信息。

5. DDoS攻擊更加頻繁

截至目前，我們發(fā)現(xiàn)大部分的DDoS攻擊都是短暫的、一次性的，大部分的企業(yè)都能找到應(yīng)對(duì)方法。然而，隨著越來越多的手機(jī)和聯(lián)網(wǎng)設(shè)備的出現(xiàn)，DDoS已經(jīng)進(jìn)化成了一種新的模式。攻擊者首先會(huì)劫持盡可能多的設(shè)備，然后將這些設(shè)備變成DDoS僵尸網(wǎng)絡(luò)。

6. 物聯(lián)網(wǎng)威脅再度擴(kuò)大

由最近發(fā)生的入侵智能兒童玩具事件和聯(lián)網(wǎng)汽車被黑客劫持的事件看，物聯(lián)網(wǎng)設(shè)備也存在一些固有的危險(xiǎn)。越來越多的設(shè)備可以聯(lián)網(wǎng)，但是卻沒有配備非常安全的措施。所有連接物聯(lián)網(wǎng)設(shè)備的移動(dòng)應(yīng)用都是通過藍(lán)牙或者WiFi連接的，但這是非常不安全的。

 [[161232]]

其中聯(lián)網(wǎng)醫(yī)療設(shè)備問題最為突出，從安全角度來說，它們的安全配置非常低，攻擊者不僅可以訪問它們，還可以完全掌控它們。像聯(lián)網(wǎng)超聲掃描儀之類的醫(yī)療設(shè)備經(jīng)常會(huì)硬編碼一個(gè)默認(rèn)的登錄密碼，并且很容易被猜到。