米勒和瓦拉塞克为这次入侵准备了三年。这将导致滑手飞出滑板,造成严重的路面事故。这种被称为badBIOS的恶意软件能够感染电脑的BIOS,而且几乎不可能完全消除。研究人员表示,这只是此恶意软件在无网络情况下进行通信的方法之一。在研究人员公布WireLurker后,苹果很快封堵了这种攻击。今年二月,Synack安全公司发布了针对该问题的研究。
新技术、新漏洞、新难题
我们对安全漏洞的第一印象是这样的:它们存在于Windows系统和许多流行的软件程序中,黑客可以对其加以利用,破坏你的电脑。然而随着计算机不断普及,状况正在变得更加复杂,麻烦也越来越多。以下列出的十种漏洞和威胁提醒我们,计算机安全已经远远超越了个人电脑(PC)的发展。
1. 入侵汽车
汽车导航和信息娱乐系统可以极大地提升驾驶体验,但它们也可能造成让你措手不及的安全问题。
案例:今年七月,两位安全人员查理·米勒(Charlie Miller)和克里斯·瓦拉塞克(Chris Valasek)设法通过互联网控制了切诺基的加速和刹车系统。他们利用吉普Uconnect信息娱乐系统中的一个漏洞,使用一台手机在目标车辆行驶时远程控制了其刹车系统。
米勒和瓦拉塞克为这次入侵准备了三年。攻击者能够通过信息娱乐系统漏洞控制车辆的状况十分令人担忧,菲亚特克莱斯勒集团(Fiat Chrysler)集团已经下令召回140万存在漏洞的车辆。
2. 入侵电动滑板,让滑手摔个狗啃泥
汽车并不是唯一存在漏洞的交通工具。8月上旬,研究人员里克·海利(Richo Healy)和麦克·瑞安(Mike Ryan)进行了一次演示。他们入侵滑板和其遥控器间未加密的蓝牙连接,实现了远程控制电动滑板。
在被他们称为FacePlant的演示中,两位黑客使用一台笔记本电脑获得了Boosted牌电动滑板的控制权。他们让这台滑板突然制动,并且让其轮子反转运行。这将导致滑手飞出滑板,造成严重的路面事故。
从实际可能性上讲,你不用太担心成为电动滑板入侵的受害者,但海利和瑞安的研究对于电动滑板、电动滑板车和电动自行车制造商而言应当是一种警醒。
3. 恶意软件感染BIOS
提起恶意软件,你可能会想到病毒、间谍软件和木马,它们在操作系统层感染你的电脑。但有一类新出现的恶意软件专门入侵PC的底层固件。
这种被称为badBIOS的恶意软件能够感染电脑的BIOS,而且几乎不可能完全消除。研究人员表示,badBIOS可以驻留在你的系统上,刷新BIOS甚至都无济于事,传统的监测和消除方法对badBIOS无效。
由于针对固件的恶意软件绕过了操作系统,几乎所有PC都可能成为攻击目标,哪怕你使用的是病毒非常少的操作系统。举例而言,研究者上个月演示了该恶意软件如何攻击苹果Mac上使用的EFI固件。
4. 利用声波绕过物理隔离
badBIOS还配有另一种阴险的伎俩:该恶意软件通过U盘传播,但研究人员认为它能够利用超高频声音信号与其它受感染电脑进行通信。研究人员表示,这只是此恶意软件在无网络情况下进行通信的方法之一。
5. U盘的堕落
使用U盘传播恶意软件并不是什么新方法,可以通过提高警惕并安装成熟的杀毒软件来解决。然而如果U盘本身就是恶意的,你可能会束手无策。
BadUSB是研究人员去年秋天公开的一个工具包,黑客可以利用它来恶意修改U盘本身。利用该工具,恶意软件注入器可以篡改U盘本身的固件驱动,并迷惑PC,让其将U盘识别为另一种完全不同的设备。
来自IDG新闻服务(IDG News Service)的卢锡安·康斯坦丁(Lucian Constantin)举例解释称:“连接到电脑的USB盘可以自动将其配置文件切换为键盘,并向电脑发送击键信号,下载并安装恶意软件。另外,它还可以模仿网络控制器,劫持DNS设置。”
6. USB杀手置PC于死地
当然,BadUSB并不是唯一一种恶意U盘。另一种恶意软件有能力彻底烧掉你的PC。
USB Killer是一种概念性攻击,攻击者可以使用它篡改硬件,让U盘并不向电脑传送数据,而是传送电流冲击。被篡改的U盘会制造各种各样的电流反馈:最终,电流会变得足够强大,烤焦你的电脑内部。
7. WireLurker瞄准Mac和iPhone
说到移动端恶意软件,iPhone目前几乎毫发无损。但这并不意味着iOS不存在漏洞。去年秋天,中国发生的WireLurker攻击事件中,黑客使用受感染的OS X应用向手机投放恶意软件,该软件会窃取个人数据,不论目标手机越狱与否。
在WireLurker感染Mac后,它会等待用户使用USB方式将iPhone连接到电脑上。如果它检测到越狱iPhone,就会查找越狱手机上的特定几种应用,并将其替换为感染后的版本。对于未越狱的手机,它会利用iPhone允许企业对员工的iPhone安装自定义应用的特性投放攻击载荷。
在研究人员公布WireLurker后,苹果很快封堵了这种攻击。
8. GPU:未来恶意软件的目标?
时间退回今年三月,一群开发者设计了一种概念性恶意软件,被称为JellyFish。它证明,恶意软件可以在PC的图形处理器上运行。
尽管JellyFish只是一种概念攻击,一旦实现,它有可能成为一种特别有效的恶意软件,黑客可以利用它进行针对Windows、Linux、OS X的多平台攻击。
杀毒软件很难探测到基于GPU的恶意软件,尽管McAfee最近发布的一份报告称安全软件有可能探测到它,但这仅仅是可能。
9. 让家庭安全头疼的技术
连接到互联网的视频摄像头可能在理论上是不错的家庭安全设备,能够在出门之后看看家里的情况可能会让你的内心感到宁静。但安全研究人员同样证明了这类设备有可能威胁你的隐私和安全。
今年二月,Synack安全公司发布了针对该问题的研究。这项研究揭示了“一系列问题,包括开放端口、内置后门、缺乏加密”。就在这个月,研究人员设法入侵了九个连接到互联网的婴儿监控器。这对任何父母而言都是非常可怕的前景。
如果攻击者发现了能够远程控制家庭安全设备的方式,他们有可能将其用作截获家庭内网计算机的用户名、密码等个人信息的手段。
10. 电脑与枪不共存
TrackingPoint制造了一系列配装传感器和计算机辅助的步枪,可以让你更精确地射击。今年于拉斯维加斯召开的DefCon和Black Hat大会上,鲁纳·山特维克(Runa Sandvik)和迈克尔·俄歇(Michael Auger)演示了如何入侵一支TrackingPoint步枪。
两位安全研究人员利用该枪的内置WiFi接入点发现了漏洞,它可以让枪口转离你的目标,指向其它物体或人员。
TrackingPoint对这次入侵作出回应称:“枪本身不能连接到互联网,黑客只有在你身边时才能进行入侵。如果确信方圆30米内没有黑客,你可以继续使用WiFi下载照片或连接到ShotView。”
