您好,欢迎来电子发烧友网! ,新用户?[免费注册]

您的位置:电子发烧友网>源码下载>数值算法/人工智能>

解析软件漏洞的发展

大小:1.2 MB 人气: 2017-09-30 需要积分:1

  笔者认为未来的软件漏洞领域主要存在以下新挑战,本文将一一介绍。

  ● 移动终端漏洞

  ● 云计算平台漏洞

  ● 物联网漏洞

  移动终端漏洞发展趋势

  移动互联网时代早已到来,以智能手机为主的移动终端也逐渐被黑客所关注,针对移动终端的漏洞和病毒正在呈倍增长,发展迅猛。面对日趋增长的安全威胁,最受影响的主要移动终端系统是AndroidiOS,这也是当前用户量最多的两大移动操作系统。移动终端系统的风险除本身系统的安全性外,安装在系统上的其他应用也是引发风险的关键点。

  根据CVE漏洞库(http://web.nvd.nist.gov/view/vuln/statistics)中Android与iOS系统漏洞数量的情况,绘制出Android系统漏洞和iOS系统漏洞的统计图,分别如下图所示,这里不包括第三方应用的漏洞统计。从统计图看,Android系统漏洞呈“山”字形发展,在2012年达到顶峰,这3年有下降趋势,一方面跟Android系统所加入的一些新安全机制有关,另一方面跟它的开放性有关,这为许多安全研究者提供了更多的利用资源,虽然如此,但Android系统所带来的安全风险将持续存在。实际上,Android系统漏洞应该不止这些,因为Linux内核漏洞也会影响到Android,部分漏洞可能未在统计数据范围内。再回头看下iOS系统漏洞情况,其漏洞数量基本保持持续上升的趋势,2015年已经达到历史最高。由于iOS的封闭性,导致iOS安全研究者相对较少,这几年关于它的安全书籍和文章逐渐增加,使得更多安全人员加入iOS安全研究的行列,其被挖掘出来的漏洞也跟着有上升的趋势。

  解析软件漏洞的发展

  CVE漏洞库中关于Android系统漏洞的统计图 (注:Linux内核漏洞未在统计范围内,但它也会影响Android系统的安全性,因此实际的Android漏洞数量会更多)

  解析软件漏洞的发展

  CVE漏洞库中关于iOS系统漏洞的统计图

  对于Android平台,特别是容易影响第三方应用的通用型漏洞,更容易被黑产所关注和利用,比如WebView漏洞、图片解析库等,未来也会有更多的病毒使用系统漏洞以扩大其危害和传播量。由于手机便携,很多个人隐私信息会直接保存在上面,而且随着移动支付的兴起,通过攻陷手机往往可以拿到很多有价值的信息,比如个人隐私、金融交易密码等,然后再拿来变售个人资料,对窃取的金融账号进行洗钱。另外,一些安全厂商可能也会购买Root提权漏洞,以应用到他们自主开发的Android Root工具中,帮助用户扩展手机使用权限,以使用很多原本无法使用的软件。

  对于iOS平台,越狱一直是个热门的话题,在越狱中使用的漏洞也是非常有价值的,一个越狱漏洞可能卖到50多万美元。一方面是由于iOS安全的门槛相对Android要高很多,而且研究人员也比Android少;另一方面,由于越狱后所能带来的额外利益非常大,找赞助商打广告也是轻而易举的事,可谓名利双收。因此,一个越狱漏洞是完全值那个价位的,将来随着越狱难度的增加,黑市的价格也肯定会跟着上升,但实际上要实现完美越狱都需要多个漏洞组合。

  由于智能手机平台上的应用经常也会嵌入WebView组件以支持网页浏览,所以手机应用也会涉及Web攻防,这就要求移动终端漏洞分析人员的知识面更全面,最好具备二进制与Web攻防的能力,才能更全面地分析和评估移动终端应用。

  云计算平台漏洞发展趋势

  云计算平台可以为用户提供“云”上的服务,这里的“云”可以理解为网络或互联网,用户可以在云上运行自己的程序,同时享受云所提供的服务和资源,不必使用自己的电脑来运行开发的程序,节约软硬件成本。国内的云平台主要有阿里云、腾讯云、新浪SAE、百度云、盛大云等,国外的有Google GAE、亚马逊AWS、微软Azure等。

非常好我支持^.^

(0) 0%

不好我反对

(0) 0%

      发表评论

      用户评论
      评价:好评中评差评

      发表评论,获取积分! 请遵守相关规定!