5. Email安全隐患——雅虎加入谷歌行列
低等级数据加密或者无力及过时的安全协议在会议上被研究员多次提起,但其中影响力最大的报告无疑来自雅虎,该公司宣布将为用户提供一种终端到终端的加密技术。Google于今年6月发布了这项技术,提供了一个浏览器插件来加密数据。 世界范围内的雅虎和谷歌云服务用户都将享受到该技术带来的隐私和安全保障,其主要针对Edward Snowden揭秘的美国政府监控行为。雅虎CIO Alex Stamos表示,这项技术将在2015年放出。 6. 汽车软件隐患——岌岌可危的产业
Charlie Miller及Chris Valasek指出,当下,汽车制造厂商为敏感软件添加越来越多的监视及触发器,导致了愈来愈多的安全隐患。同时,他们还公布了关于汽车网络数据的分析,并确认了20个风险最高的模型。 车辆正在增加愈来愈多的无线能力,这无疑让远程攻击变为可能。Charlie当下是Twitter的安全工程师,他表示,他们正在寻找安全防御最好的汽车厂商。他们发现,2014 Jeep Cherokee和2015 Cadillac Escalade的风险最高,而2006 Ford Fusion和2010 Range Rover Sport看起来最为安全。 除此之外,Qualsys的研究员Silvio Cesare还展示了智能钥匙安全系统的缺陷,只使用一个简单的工具就可以锁车、开车,或者打开汽车的后备箱。 7. OTA升级导致了一系列的安全隐患
Accuvant Labs研究员Mathew Solnik和Marc Blanchou指出,网络运营商和设备制造商在更新手机、平板等无线设备时,无线机制中往往存在安全漏洞。该实验室研究员表示攻击者可以劫持运营商的远程控制能力,并在广泛的设备管理协议中利用。 此外,研究人员还指出运营商管理网络性能工具Carrier IQ可以监控手机上的所有流量。同时,这个设备管理工具让手机更容易被攻击。该应用可以用于运行远程代码,并绕过操作系统的本地防御。在全球范围 内,70%到90%的手机内部都存在这个设备管理软件,由于这个易受攻击的OMA-DM协议,其他的设备,如笔记本、无线热点、物联网设备等也都存在风 险。 8. USB安全隐患——威胁指数直线上升
USB一直是大量恶意软件的传播媒介,但是安全研究员Karsten Nohl和Jakob Lell指出USB隐患当下已经更加危险,未来借助USB的攻击将更具威胁。研究员演示了如何借助攻击监视网络流量,以及恶意软件在启动过程中如何夺取控 制权。USB攻击非常难以察觉,因为当其被连接到笔记本或台式机时,它通常会被作为一个新设备,而恶意软件设计者可以轻易利用窃取来的证书欺骗设备制造 商。 鉴于大多数的驱动硬件制造商都不会采取任何措施保护固件,同时恶意软件解决方案也不会扫描驱动固件以检查恶意行为,USB给了好事者无限可能。幸运的是,目前这种类型攻击在现实中尚未出现。 9. 能源管理平台——更大的威胁产生
来自德国IT安全公司ERNW的研究员揭露了Cisco Systems EnergyWise套件中的安全漏洞,他指出攻击者可以利用这些漏洞破坏机构的电力系统。该信息同样可以被恶意攻击者用来窃取数据,Cisco EnergyWise被设计用于读取每台机架的电压、功率、电流及每小时用电数,同时也会读一些温度、湿度、气流等数据。 10. 机场和飞机上的安全设备存在重大隐患
Qualys漏洞研究主管Billy Rios表示,机场中大量使用的扫描设备存在高危漏洞,攻击者可以利用这些漏洞访问和控制一些关键功能。Billy指出了Transportation Security Administration批准的两个设备,并要求厂商对底层软件做重大调整。Billy表示,在一个制造商的箱包扫描设备中,身份验证证书以纯文本格式存储,并缺少远程控制管理,其默认密码同样是一个非常大的隐患。 同时,IOI研究员Ruben Santamarta表示,攻击者可以通过飞机上提供的Wi-Fi和空中娱乐系统黑进飞机卫星通讯系统,从而控制飞机航线和安全系统。 在上述十个领域之外,监控录像机、Tor网络、路由器、NSA、酒店系统等也是研究员重点关注领域。 除此之外,2014黑客奥斯卡奖Pwnie Awards同样值得关注。本次Pwnie Awards共分8个类别,下面我们一起看各个类别漏洞提名以及最终得奖者(红色标注,其中Heartbleed可以说是臭名昭著了): |
