2016移动安全5大威胁

走过2015，手机出货再次迎来新的高峰，放眼2016，可以预计移动互联的发展将达到一个新的顶点。移动安全也逐渐成为网络安全的重要战场，本文从多个角度来为大家分析2016移动安全将要面临的5大威胁。

1. 移动支付服务成重点攻击目标

根据黑帽黑客使用的通信频道的反馈，在2016年，领先的移动支付平台如Apple Pay或者Samsung Pay将会成为黑客攻击的重点目标。虽然不会直接破坏支付平台的处理算法，但是黑客通过对整个系统分析，确定并利用其他的支路或漏洞，将可能导致信用卡信息诈骗、勒索以及未经授权使用等事件出现。我们已经看到，即使没有银行授权，被盗的信用卡也可以成功添加到ApplePay的账户中，骗子可以使用被盗的银行卡在实体店使用。

苹果和三星并不是目标中唯一的公司，对等网络移动支付软件如Venmo，使用简单的汇款程序，这使其更易受到黑客的攻击，黑客可以将资金从用户的账户中转移到一个他们可以访问的虚拟账户中。(我们一直在暗中监视这种活动，但是至今还不清楚这些攻击是否已经成功。)

2. 移动网页黑客攻击的趋势上扬

我们预计Chrome、Firefox 、Safari浏览器的移动版本以及安卓或iPhone的相关操作系统在接下来的几个月中将会遭到频繁的攻击。黑客通过攻击移动浏览器是一种破解整个系统最有效的方式，因为浏览器存在的漏洞会让黑客绕过系统的安全措施。下面将会告诉你他们如何运作：

基于Webkit的漏洞会允许黑客绕过浏览器的沙箱，或者建立在现代浏览器中的安全措施。这将最有可能通过OS/kernel-level开发组件获取系统的访问权限，并且完全控制设备。

Stagefright就是一个OS-level的程序，它是安卓OS系统的数据库中的一个漏洞。虽然谷歌在今年夏天已经发布了针对这个问题的漏洞，Zimperium在今年10月发布了名为Stagefright 2.0的补丁，当其应用到网页浏览器中的时候，它变得非常可靠。

我们预测在接下来的一年中，将有越来越多的漏洞出现，这些漏洞被利用的范围也会变得更加广泛。

3. 远程设备控制/窃听

由于安卓设备的发展，世界上数十亿人很快拥有了自己的智能手机。大多数手机都拥有预装程序，并且这些程序大部分都没有经过专业安全团队的分析和检测，这就会使手机充满安全漏洞。原始设备制造商定制的开放性的安卓手机会继续恶化这一威胁，所以我们也希望原始设备制造商能够频繁进行安全升级。

与此相关的是中间人攻击的趋势上升。新型智能手机的用户往往不了解或者对他们的手机缺少足够的安全保护。例如，他们会让手机自动接入不安全的AP/WiFi连接，这些网络连接对传输的数据都不加密。

https加密是最基础的安全防护措施，Apple公司在iOS9中强制要求APP使用https加密连接，有效的遏制了中间人攻击。

另一个值得关注的是，黑客有能力窃听谈话以及看到用户收发的信息。最近的研究证明了一个简单的中间人攻击如何对三星的Shannon基带芯片产生影响。这个漏洞让黑客有能力监听这些设备的通话。

4.DDoS 攻击：进化

到目前为止，大多数拒绝服务攻击已经比较罕见了，而且影响力也很短暂，大多数互联网企业都可以处理这种攻击。然而，移动设备和其他网络连接设备让DDoS得以发展。我们开始看到一些设备被控制，变成了DDoS bots，因此要增加屏障用来检测和预防这类攻击。我们应该对这类攻击有所提防，预防的速度要与新的互联网设备进入市场的速率大致相同。

5. 物联网

互联网连接的医疗设备因为安全方面的低配置，变得臭名昭著，因为这使得黑客可以远程控制这些设备。例如，网络化的超声波扫描仪以及其他医疗设备，往往有一个硬编码的网络登录密码，用来远程登录，而且这个密码很好猜。在2013年，我的同事Jay Radcliff证明了了一个胰岛素泵的控制程序可能会被篡改，导致胰岛素过量。这真是相当讽刺，挽救我们生命的设备也可能伤害我们。

上述的几点都有可能在未来造成一个恒定的安全威胁，但好消息是，国内外相关厂家正在逐渐加强对网络安全的重视。在未来，随着HTTPS的普及与安全技术的发展，这些安全威胁的程度都将被降至最小。