笔者认为未来的软件漏洞领域主要存在以下新挑战,本文将一一介绍。
● 移动终端漏洞
● 云计算平台漏洞
● 物联网漏洞
移动终端漏洞发展趋势
移动互联网时代早已到来,以智能手机为主的移动终端也逐渐被黑客所关注,针对移动终端的漏洞和病毒正在呈倍增长,发展迅猛。面对日趋增长的安全威胁,最受影响的主要移动终端系统是Android与iOS,这也是当前用户量最多的两大移动操作系统。移动终端系统的风险除本身系统的安全性外,安装在系统上的其他应用也是引发风险的关键点。
根据CVE漏洞库(http://web.nvd.nist.gov/view/vuln/statistics)中Android与iOS系统漏洞数量的情况,绘制出Android系统漏洞和iOS系统漏洞的统计图,分别如下图所示,这里不包括第三方应用的漏洞统计。从统计图看,Android系统漏洞呈“山”字形发展,在2012年达到顶峰,这3年有下降趋势,一方面跟Android系统所加入的一些新安全机制有关,另一方面跟它的开放性有关,这为许多安全研究者提供了更多的利用资源,虽然如此,但Android系统所带来的安全风险将持续存在。实际上,Android系统漏洞应该不止这些,因为Linux内核漏洞也会影响到Android,部分漏洞可能未在统计数据范围内。再回头看下iOS系统漏洞情况,其漏洞数量基本保持持续上升的趋势,2015年已经达到历史最高。由于iOS的封闭性,导致iOS安全研究者相对较少,这几年关于它的安全书籍和文章逐渐增加,使得更多安全人员加入iOS安全研究的行列,其被挖掘出来的漏洞也跟着有上升的趋势。
CVE漏洞库中关于Android系统漏洞的统计图 (注:Linux内核漏洞未在统计范围内,但它也会影响Android系统的安全性,因此实际的Android漏洞数量会更多)
CVE漏洞库中关于iOS系统漏洞的统计图
对于Android平台,特别是容易影响第三方应用的通用型漏洞,更容易被黑产所关注和利用,比如WebView漏洞、图片解析库等,未来也会有更多的病毒使用系统漏洞以扩大其危害和传播量。由于手机便携,很多个人隐私信息会直接保存在上面,而且随着移动支付的兴起,通过攻陷手机往往可以拿到很多有价值的信息,比如个人隐私、金融交易密码等,然后再拿来变售个人资料,对窃取的金融账号进行洗钱。另外,一些安全厂商可能也会购买Root提权漏洞,以应用到他们自主开发的Android Root工具中,帮助用户扩展手机使用权限,以使用很多原本无法使用的软件。
对于iOS平台,越狱一直是个热门的话题,在越狱中使用的漏洞也是非常有价值的,一个越狱漏洞可能卖到50多万美元。一方面是由于iOS安全的门槛相对Android要高很多,而且研究人员也比Android少;另一方面,由于越狱后所能带来的额外利益非常大,找赞助商打广告也是轻而易举的事,可谓名利双收。因此,一个越狱漏洞是完全值那个价位的,将来随着越狱难度的增加,黑市的价格也肯定会跟着上升,但实际上要实现完美越狱都需要多个漏洞组合。
由于智能手机平台上的应用经常也会嵌入WebView组件以支持网页浏览,所以手机应用也会涉及Web攻防,这就要求移动终端漏洞分析人员的知识面更全面,最好具备二进制与Web攻防的能力,才能更全面地分析和评估移动终端应用。
云计算平台漏洞发展趋势
云计算平台可以为用户提供“云”上的服务,这里的“云”可以理解为网络或互联网,用户可以在云上运行自己的程序,同时享受云所提供的服务和资源,不必使用自己的电脑来运行开发的程序,节约软硬件成本。国内的云平台主要有阿里云、腾讯云、新浪SAE、百度云、盛大云等,国外的有Google GAE、亚马逊AWS、微软Azure等。
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
全部0条评论
快来发表一下你的评论吧 !