當(dāng)前，新技術(shù)的創(chuàng)新應(yīng)用加速了數(shù)字世界和物理世界的深度融合，引領(lǐng)人類社會(huì)進(jìn)入全新的發(fā)展階段。然而，一個(gè)不可否認(rèn)的現(xiàn)實(shí)是，人們?nèi)缃袼硎艿脑S多創(chuàng)新技術(shù)和先進(jìn)功能，最終也會(huì)被惡意攻擊者所利用。很多新技術(shù)在投入應(yīng)用之前，并沒(méi)有充分考慮安全性和隱私保護(hù)等情況，因此為威脅行為者提供了新的攻擊入口。

新技術(shù)創(chuàng)新所引發(fā)的安全風(fēng)險(xiǎn)與傳統(tǒng)的網(wǎng)絡(luò)攻擊并不一樣，后者一直是大眾普遍關(guān)注和防范的焦點(diǎn)安全問(wèn)題，但是新技術(shù)應(yīng)用卻因?yàn)槠涮烊坏摹皠?chuàng)新”屬性，讓使用者忽視了其中的安全風(fēng)險(xiǎn)。在本文中，全面梳理了過(guò)去5年中，10個(gè)由新技術(shù)應(yīng)用所引發(fā)的真實(shí)威脅案例，并對(duì)案例的危害和特點(diǎn)進(jìn)行了研究分析。

1.生成式人工智能的惡意利用

隨著ChatGPT的公開(kāi)亮相，生成式人工智能成為2023年最熱門的創(chuàng)新技術(shù)之一。該技術(shù)能夠根據(jù)用戶輸入的提示生成文本、圖像、代碼或其他類型內(nèi)容開(kāi)展智能化機(jī)器學(xué)習(xí)。但是由于在設(shè)計(jì)和應(yīng)用過(guò)程中很少考慮安全或隱私，生成式人工智能幾乎立即便被網(wǎng)絡(luò)攻擊者武器化應(yīng)用。攻擊者大量用它來(lái)制造虛假信息，讓缺少專業(yè)能力的惡意人員也可以輕松地進(jìn)行“深度造假”（deepfake）創(chuàng)作。

在各大暗網(wǎng)的黑客論壇上，惡意版本的生成式人工智能即服務(wù)（generative AI-as-a-service）已經(jīng)被廣泛用于生成惡意代碼，協(xié)助復(fù)雜的deepfake創(chuàng)作，以及大規(guī)模發(fā)起更有欺騙性和殺傷力的商業(yè)電子郵件入侵（BEC）活動(dòng)。

2.Intel主動(dòng)管理技術(shù)（AMT）漏洞

Intel的AMT技術(shù)旨在促進(jìn)設(shè)備的遠(yuǎn)程管理，使IT管理人員能夠遠(yuǎn)程管理和修復(fù)PC、工作站和服務(wù)器。為了防止功能被未授權(quán)的用戶濫用，AMT服務(wù)會(huì)使用HTTP摘要認(rèn)證和Kerberos驗(yàn)證機(jī)制。

然而，在實(shí)際的應(yīng)用中，安全運(yùn)營(yíng)人員發(fā)現(xiàn)，一個(gè)關(guān)鍵的權(quán)限提升漏洞就出現(xiàn)在Intel AMT Web界面通過(guò)HTTP摘要認(rèn)證協(xié)議認(rèn)證用戶的環(huán)節(jié)。通過(guò)利用該漏洞，攻擊者可以遠(yuǎn)程加載執(zhí)行任意程序，登錄設(shè)備、執(zhí)行惡意活動(dòng)，包括修改系統(tǒng)和安裝一些難以被發(fā)現(xiàn)的惡意軟件等。

3.Google+ API漏洞

Google+曾被視為Google應(yīng)對(duì)Facebook挑戰(zhàn)的戰(zhàn)略性創(chuàng)新產(chǎn)品，旨在幫助Google公司“修復(fù)”當(dāng)時(shí)問(wèn)題重重的社交網(wǎng)絡(luò)，但卻在2018年倉(cāng)促落幕。事情源于2018年3月，Google在一次自查中發(fā)現(xiàn)Google+存在一個(gè)API漏洞，可能導(dǎo)致將大量用戶的個(gè)人隱私信息（包括用戶的姓名、電子郵件地址、性別和年齡等敏感信息）泄露給開(kāi)發(fā)人員。該漏洞直接影響了約52.5萬(wàn)名用戶。由于難以解決以上安全風(fēng)險(xiǎn)，Google公司被迫關(guān)閉了Google+服務(wù)，這一曾被寄予厚望的創(chuàng)新產(chǎn)品最終淪為Google公司最失敗的戰(zhàn)略決策之一。

4.Facebook好友權(quán)限濫用

2018年，F(xiàn)acebook允許用戶授予第三方應(yīng)用程序訪問(wèn)其好友數(shù)據(jù)的權(quán)限，但是這也為一些市場(chǎng)分析公司（Cambridge Analytica）非法獲取并利用用戶數(shù)據(jù)提供了便利。據(jù)相關(guān)媒體報(bào)道，一家名為劍橋分析的公司通過(guò)一款個(gè)性測(cè)試APP接觸到Facebook用戶，在這款測(cè)試中，用戶被要求“授權(quán)允許該應(yīng)用獲取自己和朋友的Facebook數(shù)據(jù)信息”，雖然只有27萬(wàn)名用戶同意，但“滾雪球”效應(yīng)之后，這款應(yīng)用最終獲取超過(guò)5000萬(wàn)Facebook用戶的信息。而劍橋分析公司卻非法將這5000萬(wàn)用戶的個(gè)人信息出售給了第三方。該事件導(dǎo)致Facebook遭遇到用戶的信任危機(jī)，不僅受到高達(dá)2億美元的罰款，還致使公司股價(jià)一路暴跌，市值蒸發(fā)超過(guò)500億美元。

5.生物識(shí)別認(rèn)證技術(shù)

智能手機(jī)制造商推出了面部識(shí)別和指紋傳感器等生物識(shí)別認(rèn)證方法。然而，研究人員證明，使用照片或3D模型就可以輕松欺騙這些方法。2017年，研究人員使用一個(gè)并不復(fù)雜的硅膠面具就輕松解鎖了一部智能手機(jī)；2018年12月，研究人員又使用3D打印石膏人臉成功破解了多款主流智能手機(jī)上的AI人臉識(shí)別解鎖功能。

2022年8月，英國(guó)消費(fèi)者組織測(cè)試了48款最新推出的智能手機(jī)，結(jié)果發(fā)現(xiàn)其中19款（相當(dāng)于新上市手機(jī)的40%）在安全和隱私測(cè)試中表現(xiàn)出一個(gè)嚴(yán)重漏洞：只要用一張2D打印的機(jī)主面部照片就能通過(guò)人臉識(shí)別，這為犯罪分子輕松解鎖手機(jī)和竊取機(jī)主信息提供了便利。

6.Spectre和Meltdown CPU漏洞

CPU（中央處理器）是信息化系統(tǒng)中最核心的組成要素，直接驅(qū)動(dòng)著各式各樣的電子設(shè)備。而2018年初曝出的“熔斷”（Meltdown）和“幽靈”（Spectre）CPU硬件漏洞，反映出新一代CPU在企業(yè)數(shù)字化應(yīng)用中的安全風(fēng)險(xiǎn)不斷加大，全球幾乎所有高性能CPU都受到了該漏洞的影響。由于此次漏洞本質(zhì)上是由一系列硬件問(wèn)題或者硬件缺陷造成的，采用傳統(tǒng)的安全工具根本無(wú)法察覺(jué)，也無(wú)法實(shí)現(xiàn)有效檢測(cè)、預(yù)警和抵御。

這些漏洞利用OEM設(shè)計(jì)的特性來(lái)增強(qiáng)來(lái)自多個(gè)供應(yīng)商的中央處理器（CPU）的性能，通過(guò)利用處理器的超前執(zhí)行機(jī)制（如亂序執(zhí)行、分支預(yù)測(cè)）和對(duì)緩存的側(cè)信道攻擊，從而允許任何程序（包括web應(yīng)用程序和瀏覽器）查看受保護(hù)內(nèi)存區(qū)域的內(nèi)容，這些區(qū)域通常包含密碼、登錄名、加密密鑰、緩存文件和其他敏感數(shù)據(jù)。

7.WhatsApp加密后門

2017年，WhatsApp實(shí)施了端到端加密來(lái)保護(hù)用戶信息。然而，來(lái)自加州大學(xué)的安全研究人員Tobias Boelter發(fā)布報(bào)告稱，Whatsapp所采用的基于Signal協(xié)議的加密方式被植入了惡意后門，入侵者以及情報(bào)機(jī)構(gòu)都可利用這種基于信任的密鑰交換機(jī)制去攔截用戶信息，而用戶卻對(duì)此一無(wú)所知。

具體來(lái)說(shuō)，當(dāng)用戶A和B需要加密通信時(shí)，WhatsApp會(huì)在后臺(tái)服務(wù)器中自動(dòng)交換雙方的通信公鑰。WhatsApp服務(wù)器上存儲(chǔ)由雙方協(xié)商的公鑰，而私鑰則是A/B的設(shè)備雙方在本地生成的。理論上，當(dāng)B的設(shè)備已經(jīng)不再有先前雙方協(xié)商的密鑰時(shí)，理應(yīng)是無(wú)法對(duì)A發(fā)送的消息進(jìn)行解密的，但實(shí)際上在B用新設(shè)備登錄WhatsApp后依然可以收到A發(fā)送的消息。這就是WhatsApp的“后門”所在。當(dāng)B重新上線之后，WhatsApp會(huì)自動(dòng)交換雙方的新密鑰，而這個(gè)過(guò)程是不會(huì)通知用戶的。如果有攻擊者C惡意用自己的公鑰來(lái)替換B的公鑰，那么所有消息將自動(dòng)加密后發(fā)往C，并且也只有C的私鑰可以對(duì)這些信息進(jìn)行解密。

8.Zoom端對(duì)端加密（E2EE）風(fēng)險(xiǎn)

2020年4月，美國(guó)國(guó)家安全局的研究人員表示，主流在線會(huì)議平臺(tái)Zoom存在重大安全漏洞，或?qū)е滤饺薢oom視頻被上傳至公開(kāi)網(wǎng)頁(yè)，任何人都可在線觀看。在重重壓力之下，Zoom公司在當(dāng)年5月推出了端到端加密（E2EE）功能，要求所有用戶都生成公共加密身份，以在與會(huì)人員之間建立信任關(guān)系。

然而，安全研究人員觀察發(fā)現(xiàn)，Zoom所添加的端到端加密功能中，卻存在更加嚴(yán)重的安全漏洞CVE-2023-28602，它是由對(duì)加密簽名的不當(dāng)驗(yàn)證所引發(fā)，使攻擊者能夠?qū)oom客戶端組件進(jìn)行惡意降級(jí)，從而影響到數(shù)百萬(wàn)依賴該平臺(tái)進(jìn)行會(huì)議溝通的用戶。

9.智能IoT設(shè)備

研究數(shù)據(jù)統(tǒng)計(jì)，2022 年活躍的物聯(lián)網(wǎng)端點(diǎn)數(shù)量為143億個(gè)，同比增長(zhǎng)18%。預(yù)計(jì)到2023年，全球聯(lián)網(wǎng)的物聯(lián)網(wǎng)設(shè)備數(shù)量將增長(zhǎng)16%，達(dá)到167億個(gè)活躍端點(diǎn)。但是事實(shí)上，這些IoT設(shè)備（智能攝像頭和語(yǔ)音助手等）的激增帶來(lái)了大量的安全漏洞。據(jù)Forrester Research最新發(fā)布《2023年物聯(lián)網(wǎng)安全狀況》報(bào)告指出，由于安全性薄弱，物聯(lián)網(wǎng)設(shè)備已經(jīng)成為企業(yè)組織報(bào)告最多的外部攻擊目標(biāo)。對(duì)于網(wǎng)絡(luò)攻擊者而言，它們比移動(dòng)設(shè)備或計(jì)算機(jī)更容易實(shí)施攻擊活動(dòng)，而且覆蓋面更加廣泛。

10.IoT僵尸網(wǎng)絡(luò)

2016年，Mirai僵尸網(wǎng)絡(luò)發(fā)動(dòng)了大規(guī)模的分布式拒絕服務(wù)（DDoS）攻擊。犯罪分子利用數(shù)以百萬(wàn)計(jì)的物聯(lián)網(wǎng)設(shè)備，如聯(lián)網(wǎng)的嬰兒監(jiān)視器、防盜報(bào)警器、攝像頭、恒溫器和打印機(jī)，發(fā)動(dòng)了一次成功的攻擊，削弱了個(gè)人連接互聯(lián)網(wǎng)和亞馬遜、Netflix和Twitter等大公司網(wǎng)站的能力，時(shí)間長(zhǎng)達(dá)數(shù)小時(shí)。

自此之后，IoT僵尸網(wǎng)絡(luò)便被企業(yè)IT和安全領(lǐng)導(dǎo)者列為關(guān)鍵威脅。在此類攻擊中，攻擊者會(huì)通過(guò)未受保護(hù)的端口或網(wǎng)絡(luò)釣魚(yú)軟件感染IoT設(shè)備，并將其納入IoT僵尸網(wǎng)絡(luò)，從而觸發(fā)大規(guī)模網(wǎng)絡(luò)攻擊。IoT僵尸網(wǎng)絡(luò)經(jīng)常用于DDoS攻擊，以淹沒(méi)目標(biāo)的網(wǎng)絡(luò)流量。僵尸網(wǎng)絡(luò)操作者之所以將物聯(lián)網(wǎng)設(shè)備視為關(guān)鍵目標(biāo)，主要在于其安全配置較弱，且可納入僵尸網(wǎng)絡(luò)的物聯(lián)網(wǎng)設(shè)備數(shù)量很多。2023年《諾基亞威脅情報(bào)報(bào)告》發(fā)現(xiàn)，參與僵尸網(wǎng)絡(luò)驅(qū)動(dòng)的DDoS攻擊的物聯(lián)網(wǎng)機(jī)器人數(shù)量，從上一年的約20萬(wàn)臺(tái)設(shè)備增加到100萬(wàn)臺(tái)設(shè)備。

結(jié)語(yǔ)

以上事例表明，在各種創(chuàng)新技術(shù)和產(chǎn)品中，會(huì)存在大量的安全漏洞可用于竊取有價(jià)值的信息或破壞業(yè)務(wù)，并可能在多方面的攻擊中被反復(fù)利用。因此，組織必須采取行動(dòng)。安全研究人員建議，組織可以采取以下基礎(chǔ)衛(wèi)生措施來(lái)最大化防御力度：

• 定期修補(bǔ)和更新系統(tǒng)及應(yīng)用程序；
• 定期和頻繁地測(cè)試備份；
• 加強(qiáng)系統(tǒng)監(jiān)控流程；
• 采用縱深防御方法；
• 持續(xù)地教育和培訓(xùn)；
• 實(shí)施多重認(rèn)證機(jī)制以及嚴(yán)格的訪問(wèn)控制和最小特權(quán)原則；
• 全面審查業(yè)務(wù)部門跨職能事件響應(yīng)計(jì)劃。

此外，對(duì)于技術(shù)創(chuàng)新者來(lái)說(shuō)，真正的安全解決辦法是在新技術(shù)設(shè)計(jì)之初就系統(tǒng)性考慮安全和隱私需求，并從道德規(guī)范角度來(lái)驅(qū)動(dòng)這些安全元素被真正落地。只有這種安全心態(tài)被完全接受和“融入”創(chuàng)新，才能真正有效地降低技術(shù)創(chuàng)新引發(fā)的相關(guān)危害。

原文鏈接：https://www.csoonline.com/article/655401/oops-when-tech-innovations-create-new-security-threats.html