随着我们快速的方法2016,我的安全团队和我一直在编制大多数人关心的移动安全趋势和脆弱性的预测。我的目标概述这些威胁不是提出警报或恐慌,而是为了绘制一张我们在来年面临的最严重的安全性的照片,希望能够鼓励行业为现在为他们做好准备。这是正确的预防措施,其中大多数可以最小化或完全防止。
1.恐怖主义
巴黎,圣贝纳迪诺和世界各地的其他地区的可怕攻击确保恐怖主义明年将过境移动安全问题。我们将看到对使用端到端加密的电报和Redphone型通信应用程序的使用越来越担心,以避免窃听。我的团队还在跟踪犯罪分子正在使用犯罪分子以获得非常临时的时间段(有时只一次)的合法查找应用程序的出现。
展望未来,我们应该通过集成视频中的隐藏数据来利用恐怖分子来利用YouTube的主要在线媒体服务 - 例如,人类无法听到/理解的特殊音频频率,但通过特殊的聆听程序可翻译。
2.黑客目标移动支付服务
基于黑色帽子黑客中的后渠道杂音,它更有可能于2016年苹果支付或三星薪水等领先的移动支付平台将受到严重影响。这可能不会通过完全破坏他们的付款处理算法,而是通过对整个系统的分析来识别旁路措施和漏洞,导致信用卡信息欺诈,敲诈勒索和未经授权的使用。我们已经看到了被盗的信用卡信息已成功添加到没有银行验证的Applepay账户中,允许欺诈者在砂砾商店使用被盗的卡信息。很快,类似的技术可能会用于在线交易。
Apple和Samsung不是这些十字架中唯一的公司。使用简单的付款汇款进程的venmo等移动支付应用程序,这些应用程序将更容易受到试图将资金从用户的帐户转移到Dummy帐户的攻击,然后他们可以访问。(我们正在监测这种情况的地下活动,但目前尚不清楚这些攻击是否成功。)
3.基于移动网络浏览器的黑客攻击的兴起
我们希望在未来几个月内常常攻击Android和iPhone上的Chrome,Firefox,Safari和相关内核的移动版本。通过移动浏览器攻击是损害整个手机的最有效的方法之一,因为利用浏览器漏洞可以使黑客绕过其许多系统级安全措施。以下将为您提供如何工作的感觉:
我们预计未来几个月内容的脆弱性更具脆弱性,并在未来几年以广泛的规模开发。
4.远程设备劫持/窃听
由于Android设备的爆炸性增长,世界各地的数十亿人将很快拥有智能手机。这些手机中的大多数包括谷歌的安全团队通常未分析或验证的预加载应用,但是,将它们暴露在远程设备劫持中。OEM的Android智能手机的开放式,可定制的性质将继续并恶化此威胁,因此我们还应该预期频繁的OEM安全更新/补丁。事实上,我预测到明年至少两倍。
与此相关的是中攻击(或MITM)的人的威胁。新的智能手机所有者通常不了解或使用其设备练习充分的安全习惯。例如,它们可以允许其设备自动访问不加密通过网络传送的数据的未担保的AP / WIFI连接。这可能导致不安全的应用程序泄露用户凭据,当移动设备传输数据时,黑客可以“看到”。
另一个问题是黑客在对话或查看用户发送或接收的消息上窃听的能力。我的同事Daniel Komaromy和Nico Golde最近展示了如何对三星的Shannon系列的基带筹码作用的简单麻烦。离开未捕获,这种漏洞将使黑客启用窃听来自这些设备的呼叫。
5.DDOS攻击:演变
到目前为止,大多数拒绝服务攻击都是一种不常见和短暂的烦恼,其中大多数企业在线都是相对良好的处理。然而,移动和其他互联网连接设备的增长允许DDO进化。我们开始看到劫持的设备并变成DDOS机器人,从而增加屏障来检测和防止拒绝服务尝试。我们应该为许多这样的攻击做好准备,以新的互联网连接设备进入市场的速度大致增长。
这让我介绍了相关的威胁:
6.(易受攻击)的互联网
最近的儿童无线玩具的黑客攻击,更不用说自动汽车的黑客,突出了所谓的东西所谓的危险。越来越多的设备正在成为启用互联网,但没有适当的安全配置/措施,提供增加的攻击表面和更多变量,在运行它们的增长操作系统,驱动程序和软件中出错。所有通过蓝牙或Wi-Fi连接到物联网设备的移动应用程序都很脆弱。黑客将能够通过移动/无线设备驱动的DDOS攻击实现越来越多的这些利用,以及使用移动/智能特洛伊木马的移动/智能特洛伊木马,这使得HACKER能够远程控制目标设备,访问私人安全网络。
就像关于关于安全性的角度,互联网连接的医疗设备都是臭名昭着的,允许黑客访问和获得它们的远程控制。例如,网络超声扫描仪和其他医疗设备通常具有用于远程登录的硬编码默认登录/密码,相对易于猜测。2013年,我的同事Jay Radcliff展示了如何用胰岛素过量篡改胰岛素泵。这是一个悲剧性的讽刺,设计用于拯救我们的生活的设备可能被用来伤害我们。
所有这一切都可能表明了一个持续的安全威胁的可怕未来,但我在一开始时说,好消息是我在这里概述的漏洞的立即,积极主动的步骤,我觉得希望组织现在正在进行中。安全和黑客攻击过夜的变化,两年前实施的措施安全团队现在可能不足 - 而且肯定不会在2016年。
Min-Pyo Hong是基于旧金山的Seworks的首席执行官和创始人。他已经建议了20多年来的公司,非政府组织和政府对数字安全问题,并领导了Defcon的五次决赛选手的团队。
