【安全公告】纽约时报:上网产品普及给黑客提供新的入侵机会
减小字体
增大字体
作者:佚名 来源:本站整理 发布时间:2010/12/28 11:14:50
旧金山安全技术公司Mocana的研究员最近发现,他们能够轻而易举地入侵一款最畅销的可上网高清电视机。
他们发现,这款电视上使用的网络浏览软件存在一个漏洞。借助该漏洞,即可控制发往电视的信息。他们还虚构一个类似于亚马逊的网站,可以骗取用户的信用卡信息,甚至还能监控从电视发往网站的信息。
“消费电子厂商都在积极将产品接入互联网,”MocanaCEO阿德里安·特纳(AdrianTurner)说,“我可以告诉你的是,这些公司的设计团队根本没有充分考虑安全问题。”
Mocana以及与之类似的公司专门出售硬件安全技术,并且经常会宣传潜在威胁。但是Mocana的测试也印证了安全专家长期以来的一个警告:互联网电视、智能手机以及其他上网设备的出现,将引领一个全新的时代,使得黑客更容易找到攻击目标。
专家认为,随着这些设备的流行,消费者不仅会遇到信用卡密码盗窃器这种早已为人熟悉的恶意软件,还会碰到很多破坏产品功能的攻击。而由于这些设备相对较新,因此保护措施不及电脑等传统产品。
“你会看到绝大多数计算性能从桌面转向移动设备和上网产品,而且不可避免地会引发黑客社区的变化。”Layer7Technologies的首席技术官斯科特·莫里森(K.ScottMorrison)说,该公司专门帮助企业管理商业软件和基础设施。“我真的认为这将成为黑客社区的新前线。”他说。
全新应对方式
为了应对威胁,安全公司已经开始开发新的保护模式。他们不仅在设备上安装指纹扫描器和面部识别装置,同时还在推广一些工具,在攻击发生时禁用设备或锁定数据。但是目前为止,这些安全措施多数还未能进入主流。
美国杀毒软件厂商赛门铁克CEO恩瑞克·塞伦(EnriqueSalem)表示,他的公司不可能面向所有新设备推出与电脑杀毒软件相同的产品。这类软件需要相当强的计算能力,对于性能和电池续航能力不及传统电脑的设备而言,会因此背负沉重的负担。
其次,赛门铁克和其他厂商所监控到的攻击都太过新颖,需要采取全新的应对方式。
“有了Android这样的平台,会形成全新的威胁,运行方式也有所不同。”塞伦说,赛门铁克将重点在这些设备上使用指纹扫描器和其他个人身份识别符。
该公司还希望使用设备上自带的功能来提升保护能力。例如,如果有人在佛罗里达登录一台电脑,但是定位数据显示,电脑用户的手机位于德克萨斯,便有可能启动安全提问。
另外一个目标是让消费者报告可能的安全问题,然后将数据锁定或远程删除,直到问题清除为止。“如果设备丢失,你肯定希望能够删除数据。”塞伦说。
英特尔最近斥资77亿美元收购了赛门铁克的主要竞争对手McAfee。英特尔高管表示,他们计划将一些McAfee的技术整合到未来的手机或其他新设备的芯片中。
产品参差不齐
手机上网多年前就已实现,但是长时间以来,手机对于软件的控制都很严格,从而限制了黑客的破坏力。因此攻击者仍在持续寻找更简单的目标和更大的潜在受害者,包括运行Windows系统和其他热门网络软件的电脑。
但是最近,智能手机的性能得以提升,出货量也已经大幅增加,使之成为了有意义的攻击目标。
另外,苹果、谷歌、诺基亚和其他厂商也在竞相吸引第三方应用。这些企业都部署了审核机制,希望屏蔽恶意软件。但是由于新应用的数量过于庞大,加之黑客的诡计多端,使得他们很难做到万无一失。
Android的风险尤为明显。借助这款操作系统,谷歌培养了一个充满活力但却有些混乱的智能手机平台,各种规模和类型的厂商都在竞相推出不同的设备和应用。与苹果不同,谷歌不会对应用逐一审查。
相反,谷歌会要求软件开发商列出所使用的手机功能,并将该信息向用户公布。用户既可以自行决定是否下载,也可以对应用进行在线评论。
谷歌的一名发言人说,该公司预计消费者将采纳这种自律措施,并补充道,谷歌很快将对那些收到投诉的应用进行调查。
然而,随着规模较小且未经认证的企业追随苹果、诺基亚和摩托罗拉的步伐,开始开发智能手机,这一市场逐渐开始进入“西部拓荒”时代。
“优秀的手机拥有完备的设计。”Layer7Technologies的莫里森说,“问题在于大量的二流手机质量参差不齐,而且会令黑客有机可乘。”
攻击一触即发
安全公司反复警告称,黑客已经开始利用各大应用商店展开攻击,例如通过假冒程序窃取密码或拨打高价电话。
McAfee实验室移动安全研究员吉米·沙拉(JimmyShah)表示,该公司已经发现了所谓的“smishing”攻击。这是钓鱼攻击的一个变种,在这种攻击中,黑客会发送一条虚假短信,并将其伪装成银行或零售商的官方信息。这类短信通常会要求用户拨打一个所谓的客服电话,届时,攻击者则会试图从受害者那里骗取有价值的信息。
莫里森表示,他的另外一个担忧是,黑客有可能会重点窃取用户的话费,或者通过种种方式利用与手机绑定的地理定位服务。
伴随着上网设备的快速涌现,更多地威胁将一触即发。
Mocana的特纳表示,他们研究的这款电视的制造商泄露了关键的安全信息,使得黑客能够在用户使用商务服务时拦截信息。
Mocana已经将该问题通知了这家厂商。但出于安全考虑,他拒绝透露这家厂商的名称。不过,特纳表示,这是当前最畅销的五大互联网高清电视之一。
“我们发现的这个问题就像是一个没有经验的产品设计师,首次将设备联网时所犯的错误。”特纳说。