2016年最致命的六大移动安全威胁

移动安全和物联网安全是2015年美国Blackhat黑帽大会的热门安全话题。2016年，随着移动经济、物联网经济的高速发展，新的移动安全威胁将会接踵而来，近日安全公司SEWORKS创始人Min-Pyo Hong对2016年移动安全威胁趋势进行了预测，IT经理网整理如下：

一、恐怖主义

2015年最重大的恐怖主义袭击事件，包括巴黎恐袭和圣贝纳迪诺枪击案引发了关于加密通讯软件是否助长恐怖主义活动的大讨论，甚至推动这波互联网加密浪潮的斯诺登同学也躺枪遭到美国前总统新闻官的谩骂指责。但是从ISIS最近泄露的成员安全操作指南中我们可以看到，RedPhone和Signal这样的后斯诺登时代的加密产品只是恐怖主义分子众多选择之一。事实上恐怖主义分子常用的加密（通讯）工具与安全专家或黑客常用的工具没有什么区别，事实上恐怖分子很多时候会利用PSN这样的公共平台，通过弱加密或者不加密的方式来传递信息。2016年，我们可以预见的是，恐怖分子很可能更多使用类似Youtube这样的网络媒体平台来通讯，例如在Youtube视频中秘密嵌入数据（用非常规的声音频率来加密数据）

二、黑客盯上移动支付服务

2015年是移动支付服务大爆发的一年，从黑客圈子里私下流传的信息来看，2016年类似Apple Pay或Samsung Pay（类似微信支付）这样的知名移动支付平台将要“出大事”。黑客也许不会直接攻破移动支付平台的交易算法，但很可能会通过分析整个支付系统，找出漏洞和捷径实施信用卡欺诈和非授权使用的方法。目前已经发生过多起失窃信用卡信息被成功绑定到ApplePay账户中消费的事件，黑客成功绕过了银行验证，用偷来的信用卡账号在实体店消费。

事实上苹果和三星并非黑客的全部猎物，P2P移动支付应用，例如Venmo这些采用简单的支付汇款流程的应用更容易被黑客找到漏洞窃取用户账户金额，并转存到特定账户。

三、移动web浏览器攻击将暴增

未来几个月，Android和iPhone平台上的移动浏览器，包括Chrome、Firefox、Safari，以及采用类似内核的浏览器，都将频频遭受黑客攻击。因为移动浏览器是入侵手机最高效的渠道，通过利用浏览器漏洞，黑客能绕过很多系统安全措施，随便举两个例子：

基于webkit的漏洞利用可以让黑客绕过浏览器的沙盒，以及浏览器内建的安全机制。随后，黑客很可能通过操作系统内核层面的漏洞利用获得root权限并完全控制手机。

Stagefright就是一个典型的操作系统层面的攻击，例如用了Android操作系统代码库中的一个漏洞。虽然谷歌去年夏天发布了补丁，但是10月份又冒出了Stagefright2.0，当这类攻击通过web浏览器执行，将防不胜防。

预计未来几个月与移动web浏览器有关的漏洞和攻击数量将大增。

四、远程设备劫持/监听

随着Android设备的大卖，全球数以十亿计的人都使用上了智能手机，但是能够躲过谷歌安全团队审查和认证的智能手机预装应用将引发一系列的严重安全问题，特别是远程设备劫持。我们可以预见2016年Android智能手机厂商安全补丁的更新频率将加快至少一倍。

与此同时，中间人攻击（MitM）的数量将大增，这是因为很多新的智能手机用户往往缺乏必要的安全意识，例如他们会让自己的设备自动访问不安全的公共WiFi热点，从而成为黑客中间人攻击的猎物和牺牲品。除了中间人攻击，智能手机的应用安全问题还意味着远程监听（通话、短信等）的的数量也将上升。

五、DDoS攻击的进化

如今大多数DDoS攻击都是短期和不定期的，而且很多企业如今都已经为此类DDoS做好了充分的准备。但是，随着移动互联网和物联网的发展，DDoS正在悄悄进化，越来越多的智能手机和物联网设备变成了僵尸网络，这将大大提高DDoS的侦测和防御难度。

六、物联网危机

智能儿童玩具被黑客入侵是2015年最火的物联网安全事件之一，在此之前特斯拉和克莱斯勒汽车被黑客攻破也引起了轩然大波。这些都只是物联网安全的冰山一角。严格意识上讲，所用通过蓝牙和WiFi连入互联网的物联网设备和APP都是不安全的，而这其中最人命关天的莫过于可远程访问的医疗设备，例如大量的超声波扫描仪等医疗设备都使用的是默认的访问账号密码，非常容易被猜到。