2014黑帽大会揭露十大恐怖安全漏洞！

      2014年度黑客大会再次召开，黑客和安全大牛们齐聚拉斯维加斯，向世人展示他们的惊人技能。从能入侵飞机的代码到监视监控摄像头，再到把任意USB设备变成攻击工具……尽管这些安全问题，看起来是耸人听闻了些许，但在某种意义上来说它们起着一个警示作用，或许有一天，这些骇人的安全问题会成为我们网络世界的巨大安全隐患。下面就来为大家一一介绍2014黑客大会上最可怕的十大安全漏洞：

      1. 悄然致命的BadUSB

      柏林一家名为“安全研究实验室”的研究人员声称，他们已经开发出攻击USB设备固件的概念型工具。当被感染的USB设备插入计算机时，会伪装成键盘以下载恶意软件。

      由于绝大部分USB设备厂商都没有对固件采取任何保护措施，而且反病毒软件也不会对固件的恶意行为进行扫描。因此理论上而言，此漏洞可以在难以发现并难以阻止的情况下传播恶意软件，想像一下全球有多少与计算机互动的USB设备，就知道这个漏洞有多么的可怕了。万幸的是，现实中还未发现有针对此种漏洞的攻击。

      2. 入侵飞机

 

      另一种概念型攻击的后果更为严重可怕。一位人机交互领域的研究人员，Ruben Santamarta声称通过飞机上Wi-Fi和娱乐系统可以进入飞机上的卫星通讯系统，进而让攻击者影响飞机的导航系统和安全系统。

      该卫星通讯系统的生产商在接受采访时表示，这种攻击的可能性和能产生的危害都非常之小，不过他们还是表示，已经开始着手堵漏洞的工作。

      3. 被监控的监控摄像头

 

      两位安全研究人员拆开了一个价值200美元的Dropcam摄像头，想看看它的内部是如何工作的。结果发现其中的漏洞很多，黑客不仅可以浏览摄像头中存储的视频，还能上传第三方的视频，并伪造成本机拍摄的。简而言之，黑客能够劫持并接管摄像头中的视频流。

      不过还好，实施这个可怕的安全漏洞有着一个明显的不利条件，攻击者需要物理接触到你的Dropcam摄像头。也就是说，如果攻击者能够大摇大摆地进入你的房间，并旁若无人的摆弄你的摄像头的话，你的安全问题可要比摄像头被监控严重的多。

      4. Tor的危机

      从网络黑市“丝绸之路”的倒闭到爱德华·斯诺登事件的持续发酵，Tor网络越来越成为众人瞩目的焦点。Tor为使用者提供源节点到目的节点之间的匿名访问，只有下一个节点才能知道到上一个节点的确切地址。但是，据研究人员表示，用最小的成本来打破Tor网络的匿名性是很有可能的。但具体实现细节，尚未公布。

      同时Tor的运营者也在最近发现一组不明身份的恶意中继节点，试图解密Tor使用者的身份。（参考阅读： 深度揭密“洋葱路由”Tor网络）

      5. 赛门铁克终端防护漏洞

      赛门铁克终端防护护工具存在三个漏洞，这些漏洞可使攻击者对受害者的计算机进行高级别的访问。换句话说，黑客可以通过你的安全防护软件入侵你的计算机。岂不是一件很讽刺的事？

      6. 不安全的家用路由器

 

      家用办公路由器是最容易被入侵的。这些路由器可以通过网络扫描轻易的发现，通常会包含默认的登录信息，而绝大多数人从未想过把他们的路由器固件更新到最新版。也许，2014年家庭网络安全将是一个黑客攻击的热点。

      7. 千疮百孔的NAS

 

      与网络相连的存储设备更是漏洞多多 。“确切地说，没有一台设备是我无法搞定的，至少有一半的设备无需验证即可入侵。通过入侵NAS设备，攻击者可以劫持相同网络上其他设备的流量，使用的是与ARP类似的嗅探技术。”Jacob Holcomb在黑客大会上表示。

      更为可怕的是，漏洞已经提交给NAS的生产商，但至今该漏洞仍未补上。而NAS的补丁通常要几个月才能到达用户。

      8. 网络管理程序之殇

 

      还记得开发智能手机隐藏追踪程序的Carrier IQ和它引发的天下大乱吗？实际上这款手机应用程序的初衷只是为了监控使用者手机上的流量，不过是一个诊断网络性能的工具而已。但是安装了这款诊断工具的手机，变得十分容易被攻击。该漏洞可被用来执行远程代码，并绕过操作系统的本地防护机制。

      研究人员表示，全世界售出的手机有70%到90%都装有设备管理程序。其他一些设备，如笔记本电脑、无线热点设备和物联网设备等，都面临来自于《开放移动联盟设备管理协议》(OMA-DM)所含漏洞的风险。

      9. 廉价的撬锁工具

 

      物联网的安全威胁无疑是本次黑客大会的热点议题，而且话题已经超出内置了无线连接功能的Dropcam摄像头和咖啡壶。Qualsy公司的研究人员Silvio Cesare，将演示如何简单的用廉价并容易获得的零部件拼凑一件工具，然后用它来搞定安装了智能系统的汽车。

      Cesare表示，这种工具可以用来开车门，以及开后备箱。但目前还需要实施者在车的附近呆上2个小时才能搞定，因此偷车贼目前还不至于舍弃撬棍，而换台计算机。

      10. 入侵宾馆

 

      Molina曾在中国深圳的五星级酒店深圳瑞吉住过，当时Molina通过逆向工程破解了酒店提供给旅客的iPad应用程序“数字管家”，并利用KNX/IP路由器中的协议漏洞，成功的控制了房间走廊中的免打扰灯。除了灯光以外，电视、温控、房间里的音乐，甚至是酒店200多个房间中的百叶窗都尽在掌控之中。更夸张的是，控制这一切的黑客，本人都无需在中国。

      瑞吉酒店声称，该漏洞未经证实。但同时表示将“暂时的停用酒店iPad的房间远程控制系统，直到系统升级。”

      本次黑客大会的十大安全漏洞讲完了，骇人听闻的漏洞，处处存在的威胁，似乎让人无所适从。不过无需过分担心，这些漏洞大多数虽然可以引起麻烦，但也仅仅限于理论，而且也并没有被坏人利用。也就是说，它们仅仅是听上去非常可怕。然而我们始终应该谨记的是，防患于未然才是安全之道。

       转自：联软科技