您好,歡迎來電子發(fā)燒友網(wǎng)! ,新用戶?[免費(fèi)注冊(cè)]

您的位置:電子發(fā)燒友網(wǎng)>源碼下載>數(shù)值算法/人工智能>

解析軟件漏洞的發(fā)展

大?。?/span>1.2 MB 人氣: 2017-09-30 需要積分:1

  筆者認(rèn)為未來的軟件漏洞領(lǐng)域主要存在以下新挑戰(zhàn),本文將一一介紹。

  ● 移動(dòng)終端漏洞

  ● 云計(jì)算平臺(tái)漏洞

  ● 物聯(lián)網(wǎng)漏洞

  移動(dòng)終端漏洞發(fā)展趨勢(shì)

  移動(dòng)互聯(lián)網(wǎng)時(shí)代早已到來,以智能手機(jī)為主的移動(dòng)終端也逐漸被黑客所關(guān)注,針對(duì)移動(dòng)終端的漏洞和病毒正在呈倍增長(zhǎng),發(fā)展迅猛。面對(duì)日趨增長(zhǎng)的安全威脅,最受影響的主要移動(dòng)終端系統(tǒng)是AndroidiOS,這也是當(dāng)前用戶量最多的兩大移動(dòng)操作系統(tǒng)。移動(dòng)終端系統(tǒng)的風(fēng)險(xiǎn)除本身系統(tǒng)的安全性外,安裝在系統(tǒng)上的其他應(yīng)用也是引發(fā)風(fēng)險(xiǎn)的關(guān)鍵點(diǎn)。

  根據(jù)CVE漏洞庫(kù)(http://web.nvd.nist.gov/view/vuln/statistics)中Android與iOS系統(tǒng)漏洞數(shù)量的情況,繪制出Android系統(tǒng)漏洞和iOS系統(tǒng)漏洞的統(tǒng)計(jì)圖,分別如下圖所示,這里不包括第三方應(yīng)用的漏洞統(tǒng)計(jì)。從統(tǒng)計(jì)圖看,Android系統(tǒng)漏洞呈“山”字形發(fā)展,在2012年達(dá)到頂峰,這3年有下降趨勢(shì),一方面跟Android系統(tǒng)所加入的一些新安全機(jī)制有關(guān),另一方面跟它的開放性有關(guān),這為許多安全研究者提供了更多的利用資源,雖然如此,但Android系統(tǒng)所帶來的安全風(fēng)險(xiǎn)將持續(xù)存在。實(shí)際上,Android系統(tǒng)漏洞應(yīng)該不止這些,因?yàn)?a href='http://wenjunhu.com/v/tag/538/' target='_blank' class='arckwlink_none'>Linux內(nèi)核漏洞也會(huì)影響到Android,部分漏洞可能未在統(tǒng)計(jì)數(shù)據(jù)范圍內(nèi)。再回頭看下iOS系統(tǒng)漏洞情況,其漏洞數(shù)量基本保持持續(xù)上升的趨勢(shì),2015年已經(jīng)達(dá)到歷史最高。由于iOS的封閉性,導(dǎo)致iOS安全研究者相對(duì)較少,這幾年關(guān)于它的安全書籍和文章逐漸增加,使得更多安全人員加入iOS安全研究的行列,其被挖掘出來的漏洞也跟著有上升的趨勢(shì)。

  解析軟件漏洞的發(fā)展

  CVE漏洞庫(kù)中關(guān)于Android系統(tǒng)漏洞的統(tǒng)計(jì)圖 (注:Linux內(nèi)核漏洞未在統(tǒng)計(jì)范圍內(nèi),但它也會(huì)影響Android系統(tǒng)的安全性,因此實(shí)際的Android漏洞數(shù)量會(huì)更多)

  解析軟件漏洞的發(fā)展

  CVE漏洞庫(kù)中關(guān)于iOS系統(tǒng)漏洞的統(tǒng)計(jì)圖

  對(duì)于Android平臺(tái),特別是容易影響第三方應(yīng)用的通用型漏洞,更容易被黑產(chǎn)所關(guān)注和利用,比如WebView漏洞、圖片解析庫(kù)等,未來也會(huì)有更多的病毒使用系統(tǒng)漏洞以擴(kuò)大其危害和傳播量。由于手機(jī)便攜,很多個(gè)人隱私信息會(huì)直接保存在上面,而且隨著移動(dòng)支付的興起,通過攻陷手機(jī)往往可以拿到很多有價(jià)值的信息,比如個(gè)人隱私、金融交易密碼等,然后再拿來變售個(gè)人資料,對(duì)竊取的金融賬號(hào)進(jìn)行洗錢。另外,一些安全廠商可能也會(huì)購(gòu)買Root提權(quán)漏洞,以應(yīng)用到他們自主開發(fā)的Android Root工具中,幫助用戶擴(kuò)展手機(jī)使用權(quán)限,以使用很多原本無法使用的軟件。

  對(duì)于iOS平臺(tái),越獄一直是個(gè)熱門的話題,在越獄中使用的漏洞也是非常有價(jià)值的,一個(gè)越獄漏洞可能賣到50多萬美元。一方面是由于iOS安全的門檻相對(duì)Android要高很多,而且研究人員也比Android少;另一方面,由于越獄后所能帶來的額外利益非常大,找贊助商打廣告也是輕而易舉的事,可謂名利雙收。因此,一個(gè)越獄漏洞是完全值那個(gè)價(jià)位的,將來隨著越獄難度的增加,黑市的價(jià)格也肯定會(huì)跟著上升,但實(shí)際上要實(shí)現(xiàn)完美越獄都需要多個(gè)漏洞組合。

  由于智能手機(jī)平臺(tái)上的應(yīng)用經(jīng)常也會(huì)嵌入WebView組件以支持網(wǎng)頁瀏覽,所以手機(jī)應(yīng)用也會(huì)涉及Web攻防,這就要求移動(dòng)終端漏洞分析人員的知識(shí)面更全面,最好具備二進(jìn)制與Web攻防的能力,才能更全面地分析和評(píng)估移動(dòng)終端應(yīng)用。

  云計(jì)算平臺(tái)漏洞發(fā)展趨勢(shì)

  云計(jì)算平臺(tái)可以為用戶提供“云”上的服務(wù),這里的“云”可以理解為網(wǎng)絡(luò)或互聯(lián)網(wǎng),用戶可以在云上運(yùn)行自己的程序,同時(shí)享受云所提供的服務(wù)和資源,不必使用自己的電腦來運(yùn)行開發(fā)的程序,節(jié)約軟硬件成本。國(guó)內(nèi)的云平臺(tái)主要有阿里云、騰訊云、新浪SAE、百度云、盛大云等,國(guó)外的有Google GAE、亞馬遜AWS、微軟Azure等。

非常好我支持^.^

(0) 0%

不好我反對(duì)

(0) 0%

      發(fā)表評(píng)論

      用戶評(píng)論
      評(píng)價(jià):好評(píng)中評(píng)差評(píng)

      發(fā)表評(píng)論,獲取積分! 請(qǐng)遵守相關(guān)規(guī)定!

      ?