2015年已經(jīng)過去，這一年間發(fā)生了很多令我們很震驚的事件，透過這些大事件和漏洞，我們可以預(yù)測一下2016年移動安全趨勢和可能存在的安全威脅。

1. 恐怖威脅

巴黎恐怖襲擊事件雖然已經(jīng)過去1個月，但人們恐慌的表情依然歷歷在目，猜想恐怖襲擊可能會在2016年蔓延至移動安全領(lǐng)域。未來像Telegram和Redphone之類的通信應(yīng)用將使用端對端的加密躲避通信竊聽行為，但我們的團隊還是發(fā)現(xiàn)了一些被網(wǎng)絡(luò)犯罪分子用于通信的應(yīng)用。

我們預(yù)測恐怖主義者會利用主要的媒體網(wǎng)站，如利用YouTube視頻隱藏數(shù)據(jù)。特殊頻率的音頻是不會被一般用戶聽到或者理解的，但可以通過特殊的監(jiān)聽程序破譯。

2. 移動支付服務(wù)將是下一個重點目標(biāo)

基于黑帽大會上通道雜音的研究，也預(yù)示著2016年移動支付平臺(蘋果支付或者三星支付)很可能會被黑客攻破。這種事情很可能發(fā)生，可能不會完全入侵他們的支付操作算法，但通過對整個系統(tǒng)的分析我們發(fā)現(xiàn)了一些繞過策略和漏洞，可導(dǎo)致信用卡信息偽造、敲詐勒索、未授權(quán)使用。并且我們已經(jīng)知道怎樣將偷來的信用卡信息成功添加到蘋果支付賬戶中而且不需要銀行的驗證，詐騙者可以用偷來的信用卡信息在傳統(tǒng)的商店中進行消費。

 存在這種問題的企業(yè)不止蘋果和三星兩家，像Venmo這種端對端移動支付應(yīng)用使用的簡單支付匯款流程會更加容易被黑客攻擊。

3. 手機瀏覽器攻擊更加頻繁

移動版本的chrome、Firefox、Safari以及與andriod和iPhone相關(guān)核心程序?qū)墙酉聛韼讉€月內(nèi)黑客攻擊的重點。通過瀏覽器入侵手機是目前入侵整個手機最為有效的方式，因為黑客利用瀏覽器漏洞可以繞過許多系統(tǒng)級別的安全防護策略。舉例如下：

(1)基于Webkit 的exp可繞過瀏覽器沙盒，或者瀏覽器內(nèi)置的安全策略。

(2)安卓操作系統(tǒng)中的Stagefright漏洞，一條彩信即可控制整個設(shè)備。盡管谷歌很快就發(fā)布了修復(fù)補丁，但Zimperium之后又發(fā)現(xiàn)了Stagefright 2.0漏洞。

4. 越來越多的設(shè)備會被遠程劫持

隨著安卓設(shè)備數(shù)量急劇增加，全球數(shù)十億的人口都會配有智能手機。大部分的設(shè)備上都會預(yù)裝一些應(yīng)用，他們基本上都沒有經(jīng)過谷歌安全團隊的分析和驗證，正因為這些應(yīng)用的存在導(dǎo)致設(shè)備可能會被遠程劫持。安卓智能手機廠商的這種開放可定制化的功能將會繼續(xù)，意味著安全威脅會更加的嚴(yán)重，因此我們期望手機廠商能及時發(fā)布更新或者補丁。

這種情況還可能滋生中間人攻擊的威脅。智能手機新用戶往往不會意識到也沒有足夠安全的使用習(xí)慣，因此他們會訪問不安全的WiFi網(wǎng)絡(luò)(不會對通信數(shù)據(jù)進行加密)，從而泄露他們的憑證。

另外一個問題是，攻擊者還有能力竊聽用戶的對話或者發(fā)送/接收到的信息。

5. DDoS攻擊更加頻繁

截至目前，我們發(fā)現(xiàn)大部分的DDoS攻擊都是短暫的、一次性的，大部分的企業(yè)都能找到應(yīng)對方法。然而，隨著越來越多的手機和聯(lián)網(wǎng)設(shè)備的出現(xiàn)，DDoS已經(jīng)進化成了一種新的模式。攻擊者首先會劫持盡可能多的設(shè)備，然后將這些設(shè)備變成DDoS僵尸網(wǎng)絡(luò)。

6. 物聯(lián)網(wǎng)威脅再度擴大

由最近發(fā)生的入侵智能兒童玩具事件和聯(lián)網(wǎng)汽車被黑客劫持的事件看，物聯(lián)網(wǎng)設(shè)備也存在一些固有的危險。越來越多的設(shè)備可以聯(lián)網(wǎng)，但是卻沒有配備非常安全的措施。所有連接物聯(lián)網(wǎng)設(shè)備的移動應(yīng)用都是通過藍牙或者WiFi連接的，但這是非常不安全的。

其中聯(lián)網(wǎng)醫(yī)療設(shè)備問題最為突出，從安全角度來說，它們的安全配置非常低，攻擊者不僅可以訪問它們，還可以完全掌控它們。像聯(lián)網(wǎng)超聲掃描儀之類的醫(yī)療設(shè)備經(jīng)常會硬編碼一個默認的登錄密碼，并且很容易被猜到。