卡巴斯基：2018年度安全大事件盘点

Asacub是从一个短信木马演变而来的，它在最开始就拥有防止删除、拦截来电和拦截短信的技术。作者随后将程序逻辑复杂化，并开始大规模分发恶意软件。所选择的载体与最初的载体相同，都是通过SMS短信方式借助社会工程学实现分发。

当木马感染的设备开始传播感染时，就会呈现出滚雪球的增长趋势，Asacub通过自我传播，扩散到受害者的全部联系人名单。

十、智能不一定意味着安全

如今，我们被智能设备所包围，包括日常家用物品，例如电视、智能电表、恒温器、婴儿监视器和儿童玩具等。但智能设备的范畴还包含汽车、医疗设备、闭路电视摄像机和停车咪表。随着智能化的进一步提升，智能城市也相继出现。然而，如今的智能时代为攻击者提供了更大的攻击面。要保护传统计算机的安全非常困难，但如果要保护物联网(IoT)的安全，则又是难上加难。由于缺乏标准化，安全人员往往会忽视其安全性，或者将安全性视为开发之后需要考量的因素之一。有很多例子可以佐证这一观点。

2月，我们探讨了智能中心(Smart Hub)的安全性问题。通过智能中心，用户可以控制家中其他智能设备的操作，发出命令并接收消息。智能中心可以通过触摸屏、移动应用程序或Web界面进行控制。如果它遭受攻击，可能会出现单点故障。尽管我们的研究人员分析的智能中心没有明显漏洞，但其中还是存在足以获取远程访问权限的逻辑漏洞。

卡巴斯基实验室ICS CERT的研究人员针对一款流行的智能摄像头进行了分析，并研究该设备是如何防止入侵的。智能摄像头现在已经成为日常生活中的一部分，有许多智能摄像头都连到云端，用于远程监控特定位置(查看宠物、进行安全监控等)。我们的研究人员所分析的设备被当做通用摄像头来销售，可以用作婴儿监视器，也可以作为安全系统的一部分。该摄像头具有夜视能力，可以跟随移动的物体，并支持将视频传输到智能手机或平板电脑，可以通过内置扬声器播放声音。但不幸的是，这一智能摄像头居然有13个漏洞，几乎与它的功能一样多，可以允许攻击者更改管理员密码、在设备上执行任意代码、构建被攻陷摄像头的僵尸网络或者完全阻止摄像头运行。

这些安全问题不止存在于面向消费者的设备之中。今年年初，我们的全球研究和分析团队研究员与Azimuth Security的Amihai Neiderman共同发现了一个加油站自动化设备的漏洞。该设备直接连接到互联网，负责管理加油站的每一个组件，包括加油机器和支付终端。更令人担忧的是，外部人员可以使用默认凭据访问设备的Web界面。经过进一步的研究显示，攻击者可以关闭所有加油系统、导致燃油泄漏、修改价格、绕过支付终端、获取车辆牌照和驾驶员身份、在控制器单元上执行代码，甚至可以在加油站的网络上自由移动。

如今，技术正在推动医疗保健的改革，它有助于提升医疗质量，并降低医疗和护理服务的成本，同时还可以让患者和公民更好地管理他们的医疗保健信息，赋予护理人员全力，并有助于新药和治疗方法的研究。然而，新的医疗技术和移动工作实践所产生的数据要比以往任何时候都多，同时也为数据丢失或数据窃取提供了更多的机会。在过去的几年中，我们已经多次提出了这一问题。我们持续跟踪网络犯罪分子的活动轨迹，了解他们如何渗透医疗网络，如何找到公开医疗资源的数据以及如何将其泄露出去。9月，我们检查了医疗领域的安全性，发现超过60%医疗机构的计算机上存在某种恶意软件。此外，针对制药行业的攻击仍在持续增长。关键是，医疗机构应该删除不再需要的个人医疗数据，及时更新软件，并删除不再需要的应用程序的所有终端，不要将重要的医疗设备连接到主LAN上。在这里可以找到我们的详细建议。

今年，我们还研究了用于动物的智能设备，特别是用于监控宠物位置的追踪器。这些小工具可以访问宠物主人的家庭网络和电话，以及获取宠物的位置。我们的研究人员研究了几种市面上流行的追踪器，其中4款使用BLE蓝牙技术与用户的智能手机进行通信，仅有1款被正确配置，其他3款可以接收并执行任何人的命令。同时，追踪器也可以被禁用，或者对用户隐藏，攻击者所需要做的仅仅是靠近追踪器。其中，只有一个经过测试的Android应用程序会验证其服务器的证书，而不仅仅依赖于系统安全。因此，这些安全性薄弱的产品容易受到中间人(MitM)攻击，攻击者可以诱导受害者安装他们的证书，从而拦截传输的数据。

我们的一些研究人员还研究了人类可穿戴设备，特别是智能手表和健身追踪器。我们发现，通过在智能手机上安装间谍应用程序，可以将内置运动传感器(加速度计和陀螺仪)的数据发送到远程服务器，并使用这些数据拼凑出佩戴者的行为，例如走路、坐着、打字等。我们从基于Android的智能手机开始，编写了一个简单的应用程序来处理和传递数据，然后研究我们可以从这些数据中获取什么。结果表明，不仅可以确定佩戴者是坐着还是走路，并且还能弄清楚佩戴者是散步还是乘坐地铁，因为这两种状态对应的加速度计模式略有不同。当佩戴者打字时，也很容易判断出来。但是，如果想要发现他们输入的内容，这非常困难，并且需要重复输入文本。我们的研究人员能以96%的准确度恢复出计算机密码，能以87%的准确度恢复出ATM密码。但是，由于缺乏关于受害者何时输入此类信息的可预测性，获取其他信息(例如：信用卡号或CVC码)将更加困难。

近年来，汽车共享服务有所增长。这些服务为大城市中的出行人群提供了便利。但是，也随之产生了安全问题，就是使用这些服务的用户个人信息是否安全?7月，我们测试了13个应用程序，其结果并不乐观。显然，应用程序开发人员在最初设计和创建基础架构时，都没有充分考虑到当前移动平台的威胁。最简单的，目前只有1个服务会向客户发送有关尝试从其他设备登录帐户的通知。从安全角度来看，我们分析的大多数应用程序的安全性都非常差，需要进行改进。而且，许多应用程序不仅看起来非常相似，实际上就是使用了相同的代码。读者可以在这里阅读我们的报告，其中包括为汽车共享服务客户提供的安全建议，以及为汽车共享应用程序开发人员提供的建议。

（编辑：青岛站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!