十大前沿安全威脅

新技術、新漏洞、新問題

我們對安全漏洞的第一印象是：它們存在于Windows系統和許多流行的軟件程序中，黑客可以使用它來破壞你的計算機。然而，隨著計算機的普及，情況變得越來越復雜和麻煩。以下十個漏洞和威脅提醒我們，計算機安全遠遠超過了個人計算機（PC）的發展。

1.入侵汽車

汽車導航和信息娛樂系統可以大大提高駕駛體驗，但也可能會導致你措手不及的安全問題。

案例：今年7月，兩名安全人員查理米勒（CharlieMiller）和克里斯瓦拉塞克（ChrisValasek）試圖通過互聯網控制切諾基的加速和制動系統。他們利用吉普Uconect信息娛樂系統中的一個漏洞，在目標車輛行駛時使用手機遠程控制制動系統。

米勒和瓦拉塞克為入侵做了三年的準備。菲亞特克萊斯勒集團可以通過信息娛樂系統的漏洞控制車輛的狀況，令人擔憂（FiatChrysler）集團已下令召回140萬有漏洞的車輛。

2.入侵電動滑板，讓滑手摔狗啃泥

汽車不是唯一有漏洞的交通工具。8月初，研究人員里克海利（RichoHealy）和麥克瑞安（MikeRyan）演示。他們入侵了滑板與遙控器之間未加密的藍牙連接，實現了電動滑板的遠程控制。

在被稱為FacePlant的演示中，兩名黑客使用筆記本電腦獲得了Bosted電動滑板的控制權。他們讓滑板突然剎車，讓車輪反轉。這將導致滑板飛出，造成嚴重的道路事故。

從實際可能性來看，你不必太擔心成為電動滑板入侵的受害者，但海利和瑞安的研究應該是對電動滑板、電動滑板車和電動自行車制造商的警告。

3.感染BIOS的惡意軟件

說到惡意軟件，你可能會想到病毒、間諜軟件和木馬，它們會在操作系統層感染你的電腦。但是有一種新的惡意軟件專門入侵PC的底層固件。

這種被稱為badBIOS的惡意軟件可以感染計算機的BIOS，而且幾乎不可能完全消除。研究人員說，badBIOS可以留在你的系統上，刷新BIOS甚至無濟于事。傳統的監控和消除方法對badBIOS無效。

由于針對固件的惡意軟件繞過了操作系統，幾乎所有的電腦都可能成為攻擊目標，即使你使用的是很少有病毒的操作系統。例如，研究人員上個月演示了如何攻擊蘋果Mac上使用的EFI固件。

4.利用聲波繞過物理隔離

BadBIOS還配備了另一個陰險技巧：惡意軟件通過U盤傳輸，但研究人員認為它可以使用超高頻聲音信號與其他受感染的計算機通信。研究人員說，這只是惡意軟件在沒有網絡的情況下通信的方法之一。

5.U盤的墮落

使用U盤傳播惡意軟件并不是一種新方法，可以通過提高警惕和安裝成熟的殺毒軟件來解決。然而，如果U盤本身是惡意的，你可能會感到無助。

BadUSB是研究人員去年秋天公開的工具包，黑客可以用它惡意修改U盤本身。使用該工具，惡意軟件注入器可以篡改U盤本身的固件驅動器，混淆PC，并將U盤識別為另一個完全不同的設備。

IDG新聞服務（IDGNewsService）盧錫安康斯坦丁（LucianConstantin）例如，“連接到計算機的USB磁盤可以自動將其配置文件切換到鍵盤，并向計算機發送鍵信號，下載和安裝惡意軟件。此外，它還可以模仿網絡控制器，劫持DNS設置。”

6.USB殺手將PC置于死亡

當然，BadUSB不是唯一的惡意U盤。另一個惡意軟件有能力完全燒掉你的PC。

USBKiler是一種概念攻擊，攻擊者可以使用它篡改硬件，使U盤不會將數據傳輸到計算機，而是傳輸電流沖擊。被篡改的U盤會產生各種電流反饋：最終，電流會變得足夠強大，燒焦你的計算機。

7.Wirelurker瞄準Mac和iPhone

說到移動惡意軟件，iPhone目前幾乎毫發無損。但這并不意味著iOS沒有漏洞。去年秋天，在中國的WireLurker攻擊中，無論目標手機是否越獄，黑客都使用感染的OSX應用程序將惡意軟件放入手機。

Wirelurker感染Mac后，它將等待用戶使用USB將iPhone連接到計算機上。如果檢測到越獄iPhone，會在越獄手機上找到幾個特定的應用程序，并將其替換為感染版本。對于未越獄的手機，iPhone允許企業將自定義應用程序的特性放入員工的iPhone。

在研究人員宣布WireLurker后，蘋果迅速封鎖了這一攻擊。

8.GPU：惡意軟件的未來目標？

今年3月，一群開發者設計了一種叫吉利Fish的概念性惡意軟件。它證明惡意軟件可以在PC圖形處理器上運行。

雖然JellyFish只是一個概念攻擊，但一旦實現，它可能會成為一個特別有效的惡意軟件，黑客可以使用它來針對Windows、Linux、OSX多平臺攻擊。

基于GPU的惡意軟件很難檢測到殺毒軟件，盡管Mcafee最近發布的一份報告稱，安全軟件可能會檢測到它，但這只是可能的。

9.讓家庭安全頭疼的技術

理論上，連接到互聯網的視頻攝像頭可能是一個很好的家庭安全設備。外出后看看家里的情況可能會讓你感到安靜。但安全研究人員也證明，這些設備可能會威脅到你的隱私和安全。

今年2月，Synack安全公司發布了一項關于這個問題的研究。這項研究揭示了“一系列問題，包括開放端口、內置后門和缺乏加密”。就在這個月，研究人員試圖入侵9個連接到互聯網的嬰兒監控器。這對任何父母來說都是一個可怕的未來。

如果攻擊者找到了遠程控制家庭安全設備的方法，他們可以將其用作截取家庭內網計算機用戶名、密碼等個人信息的手段。

10.計算機和槍不共存

TrackingPoint制造了一系列配備傳感器和計算機輔助步槍的步槍，可以讓你更準確地射擊。在今年在拉斯維加斯舉行的Defcon和BlackHat會議上，魯納山特維克（RunaSandvik）與邁克爾俄歇（MichaelAuger）演示了如何入侵TrackingPoint步槍。

兩名安全研究人員利用槍的內置WiFi接入點發現了漏洞，可以將槍口轉移到其他物體或人員身上。

TrackingPoint回應說:“槍本身不能連接到互聯網，黑客只能在你身邊的時候入侵。如果你確信方圓30米內沒有黑客，可以繼續用WiFi下載照片或者連接到Shotview。”