漏洞战争： 软件漏洞发展趋势

◆ ◆ ◆引言

近几年，在电脑上的软件漏洞分析与利用技术已经发展得至关成熟，不少技术也被黑产所利用，但也正由于如此，它极大地推动软件漏洞领域的发展，好比微软在IE上新增了许多安全机制（延迟释放、隔离堆、控制流防御等），大大地提高了IE浏览器的安全性。外部曝光的各大APT攻击事件也将持续存在，用的不必定是0day，也多是一些旧漏洞的综合利用，加上社工及其余高级渗透技术进行长期潜伏以收集目标信息。

笔者我的认为APT并非一项新技术或新概念，它只是对过去一些长期潜伏渗透的综合行为所做的概念总结。也就是说，在APT一词出现前，这类APT攻击行为就一直存在，只是恰好有人取此名词，后来被炒火了。特别是国外著名安全厂商FireEye的出现，更大程度地推进了APT概念的发展，由于FireEye每次都能及时地爆光外部正在利用的0day，以及各类APT攻击事件，甚至是各国之间的间谍行动。也正由于如此，后面很长一段时间，流行给各类漏洞或APT攻击事件取个特殊的名称，好比“心脏出血”、“红色十月行动”、“雪人行动”……（在站点https://github.com/ kbandla/APTnotes能够看到从2006年至今的各种APT攻击事件资料）。

固然，在此期间也有很多厂商为炒做漏洞，将危害通常或者低危的漏洞炒做成很严重的漏洞，以混淆视听，笔者就曾屡次在安全应急事件中遇到此类状况。

下面，咱们将看到将来的软件漏洞可能面临哪些新挑战。

笔者认为将来的软件漏洞领域主要存在如下新挑战，本文将一一介绍。

● 移动终端漏洞

● 云计算平台漏洞

● 物联网漏洞

移动终端漏洞发展趋势

移动互联网时代早已到来，以智能手机为主的移动终端也逐渐被黑客所关注，针对移动终端的漏洞和病毒正在呈倍增加，发展迅猛。面对日趋增加的安全威胁，最受影响的主要移动终端系统是Android与iOS，这也是当前用户量最多的两大移动操做系统。移动终端系统的风险除自己系统的安全性外，安装在系统上的其余应用也是引起风险的关键点。

根据CVE漏洞库（http://web.nvd.nist.gov/view/...）中Android与iOS系统漏洞数量的状况，绘制出Android系统漏洞和iOS系统漏洞的统计图，分别以下图所示，这里不包括第三方应用的漏洞统计。从统计图看，Android系统漏洞呈“山”字形发展，在2012年达到顶峰，这3年有降低趋势，一方面跟Android系统所加入的一些新安全机制有关，另外一方面跟它的开放性有关，这为许多安全研究者提供了更多的利用资源，虽然如此，但Android系统所带来的安全风险将持续存在。实际上，Android系统漏洞应该不止这些，由于Linux内核漏洞也会影响到Android，部分漏洞可能未在统计数据范围内。再回头看下iOS系统漏洞状况，其漏洞数量基本保持持续上升的趋势，2015年已经达到历史最高。因为iOS的封闭性，致使iOS安全研究者相对较少，这几年关于它的安全书籍和文章逐渐增长，使得更多安全人员加入iOS安全研究的行列，其被挖掘出来的漏洞也跟着有上升的趋势。

CVE漏洞库中关于Android系统漏洞的统计图 （注：Linux内核漏洞未在统计范围内，但它也会影响Android系统的安全性，所以实际的Android漏洞数量会更多）

CVE漏洞库中关于iOS系统漏洞的统计图

对于Android平台，特别是容易影响第三方应用的通用型漏洞，更容易被黑产所关注和利用，好比WebView漏洞、图片解析库等，将来也会有更多的病毒使用系统漏洞以扩大其危害和传播量。因为手机便携，不少我的隐私信息会直接保存在上面，并且随着移动支付的兴起，经过攻陷手机每每能够拿到不少有价值的信息，好比我的隐私、金融交易密码等，而后再拿来变售我的资料，对窃取的金融帐号进行洗钱。另外，一些安全厂商可能也会购买Root提权漏洞，以应用到他们自主开发的Android Root工具中，帮助用户扩展手机使用权限，以使用不少本来没法使用的软件。

对于iOS平台，越狱一直是个热门的话题，在越狱中使用的漏洞也是很是有价值的，一个越狱漏洞可能卖到50多万美圆。一方面是因为iOS安全的门槛相对Android要高不少，并且研究人员也比Android少；另外一方面，因为越狱后所能带来的额外利益很是大，找赞助商打广告也是垂手可得的事，可谓名利双收。所以，一个越狱漏洞是彻底值那个价位的，未来随着越狱难度的增长，黑市的价格也确定会跟着上升，但实际上要实现完美越狱都须要多个漏洞组合。

因为智能手机平台上的应用常常也会嵌入WebView组件以支持网页浏览，因此手机应用也会涉及Web攻防，这就要求移动终端漏洞分析人员的知识面更全面，最好具有二进制与Web攻防的能力，才能更全面地分析和评估移动终端应用。

云计算平台漏洞发展趋势

云计算平台能够为用户提供“云”上的服务，这里的“云”能够理解为网络或互联网，用户能够在云上运行本身的程序，同时享受云所提供的服务和资源，没必要使用本身的电脑来运行开发的程序，节约软硬件成本。国内的云平台主要有阿里云、腾讯云、新浪SAE、百度云、盛大云等，国外的有Google GAE、亚马逊AWS、微软Azure等。

根据服务对象的不一样，能够简单地将云计算平台分为私有云、公有云和混合云，公有云是为外部用户提供云服务的平台，私有云通常是企业内部专用的云平台，而混合云包含公有云和私有云。从云计算平台构建结构来分，能够分为以下图所示的结构（源自：百度百科）。

云计算平台架构

● SaaS（软件即服务）：为消费者提供应用软件。

● PaaS（平台即服务）：为消费者提供系统平台，好比Windows、Linux等操做系统，以及相应的管理支撑软件、开发工具、安全系统等。

● IaaS（基础设施即服务）：为消费者提供服务器、存储设备、网络通讯设备，以及其余IT基础设施资源。 若是黑客要攻击云平台，那么其最终的目的通常都是为了拿到底层数据中内心的存储数据，所以云安全的本质其实就是数据安全。根据前面的架构分层，能够呈现出不一样的漏洞攻击特征。

● SaaS层：传统的Web漏洞、软件漏洞均可能会出现，而此层的漏洞风险更大，也是外部最容易触及到的，从目前多数云平台的入侵状况看，Web漏洞致使的直接危害会更多。

● PaaS层：Web服务器漏洞，主机安全问题，好比系统提权漏洞。

● IaaS层：网络攻击、虚拟机漏洞、数据存储缺陷等。 综合来看，笔者认为当前及将来的主要云安全问题会集中在虚拟机漏洞、Web漏洞、数据安全等方向上，主要有如下缘由。

（1）云平台上通常是多个用户共用一台服务器，若是利用虚拟机漏洞逃逸出去，进而控制主系统，那么攻击者就可能窃取他人的数据并执行其余恶意的越权操做。

（2）Web漏洞相对其余类型的漏洞门槛会低一些，也是外部最容易接触到的层面，此处若发生安全问题可能直接致使服务器被入侵，危害严重。

（3）数据加密每每是最后一道防线，即便服务器被入侵，若采用较为坚固的数据加密方案，能够大大地提升免受破解的功能，而若对敏感数据未作加密或采用不安全的加密方式，则破解出数据只是时间问题。

正由于这些安全问题，因此如今许多云平台自身或者第三方安全厂商会提供一些云安全产品，好比云WAF（如腾讯的“门神”）、云漏洞扫描器（如腾讯云提供的云安全漏洞扫描服务）、主机入侵防护系统（如腾讯的“洋葱”）、数据加密系统（如腾讯的“铁将军”）、DDOS防护系统（如腾讯的“宙斯盾”）等。在此也能够预见将来会有更多的云安全问题出现，相应的云安全产品也是逐渐增多。

物联网漏洞发展趋势

物联网（Internet of things，简称IoT），通俗来说，就是将物体接入互联网所组成的网络，使得物与物，人与物可以进行交互，以便进行智能化管理，好比窗帘，传统上它只是个静态物体，但若是将其接入网络，人们能够直接经过移动终端（手机、平板电脑等）进行控制，实现远程拉窗帘的动做。因此物联网的诞生，势必将改变人们将来的生活。如今物联网才刚刚起步，不少产品作得可能还不够实用，也可能有些只是炒做概念而诞生的产品，但物联网是将来发展的趋势，相信将来会更好。

因为物联网的介入，使得传统互联网可以从虚拟世界影响到物理世界，那么若是物联网产品存在安全问题，那就有可能直接影响到我的财产安全，甚至人身安全。若是读者有关注过外部报道的关于心脏起搏器、胰岛素泵（注射胰岛素的设备，当注入过量时可致使患者昏迷）被黑客入侵的事，相信就很容易理解。再举个你们常常在电影上看见的场景，好比《窃听风云》中的片断，故事背景以下。

男主角为了进入警察局的档案室偷取资料，经过黑客技术黑入警察局的监控系统，将监控视频替换为无人状态，以隐藏潜入者的行踪，防止被警察发现。

相信在许多黑客题材的电影或电视剧里，常常会看到相似的场景。可是这毕竟是电影里的场景，在现实生活中是否真的存在，技术上是否可以实现呢？答案是确定的。

《窃听风云》电影片断：经过篡改监控视频隐藏行踪

腾讯安全应急响应中心（TSRC）的monster同窗就曾对百度出品的一款智能摄像头进行研究，发现其存在严重漏洞，利用漏洞可以篡改监控视频，重现相似《窃听风云》里的电影场景。

TSRC的同窗为记者演示如何破解智能门锁

通过一段时间的研究，咱们发现一些当前流行的智能设备都存在安全漏洞，包括智能门锁、智能插座、智能摄像头、移动POS机……不少跟用户财产安全挂钩较紧的智能设备都广泛存在安全问题，总结起来可能有如下几方面缘由。

● 智能设备领域刚刚起步，业界对智能设备安全的经验积累不足。

● 许多创业公司把主要精力投入到业务量上，而忽略对安全的重视。

● 业界缺少统一技术标准，在通讯协议、安全体系设计等诸多方面都良莠不齐，致使一些隐患的存在。 每个智能设备漏洞所能形成的危害，主要依赖于它所支持的功能及应用场景。再列举几个此前TSRC的同窗研究发现的智能设备漏洞，好比智能门锁被破解后，就可能被入室盗窃，直接危害我的财产安全。

TSRC的同窗为记者演示如何破解智能门锁

好比某移动POS机存在被劫持盗刷的漏洞，只要用存在漏洞的POS机刷过漏洞，攻击者可在无用户密码、无用户银行卡的状况下，直接窃取用户银行卡上的钱。

利用移动POS机漏洞盗刷银行卡

刚刚兴起的车联网也是被曝光存在许多安全问题，好比在2014年GeekPwn智能硬件破解大赛上，Keen团队就现场演示破解特斯拉的场景，经过手机实现远程控制特斯，只需手触屏幕上汽车的几个关键位置，就能够实现打开车门、后备箱、让正向行驶的汽车忽然倒车，甚至熄火失控。

图 GeekPwn大会上破解特斯拉的现场

在2015年GeekPwn的开场项目中，腾讯安全平台部的gmxp同窗利用一系列漏洞成功演示劫持一架正在飞行的大疆精灵3代无人机，夺取了这台无人机的控制权，成功完成无人机的劫持。GeekPwn结束后，组委会当即将漏洞通知给官方，而大疆也很快完成了漏洞的修复。后来，在中央电视台举办的3·15晚会上报道了这次的无人机劫持。

中央电视台3·15晚会报道的无人机劫持

以上几个实例只是冰山一角，但它涵盖了人们平常的住、行、金融消费等活动。随着智能设备的普及和功能的多向化，人们的衣、食、住、行已经逐渐被覆盖，好比已经出现的智能内衣（衣）、智能筷子（食）等，甚至一些涉及人体健康的生物医学智能设备也逐渐出现，特别是像心脏起搏器、胰岛素泵等医疗设备，假若出现安全漏洞，可能直接危害生命。

总结

本文主要就将来软件漏洞发展趋势进行探讨，可能面临移动终端、云计算平台、物联网等三大新领域的挑战，并列举出一些可能存在的风险点，以及一些目前已曝光的安全漏洞。相信将来还会有更大的安全漏洞被曝光，而一些新兴领域的安全问题，可能直接危害到用户的金融支付安全，甚至人身安全，相对传统安全问题，其致使的危害被扩大化。所以，提供对这些新兴领域进行预先性研究是颇有必要的，只有掌握相应的原理、分析方法、潜在攻击面，在问题爆发后才可以自如应对，避免被打得措手不及。

相 关 图 书

《漏洞战争：软件漏洞分析精要》

系统、全面、深刻！

业内名家一致好评推荐！

结合众多经典漏洞，深度剖析漏洞攻防实战！

林桠泉 著

2016年7月出版

◎ 系统讲解软件漏洞分析与利用所需的各种工具、理论技术和实战方法

◎ 根据不一样软件漏洞类型划分，并加入Android 平台上的漏洞分析与利用

◎ 以经典漏洞为例，以分享漏洞分析技巧和工具为主，对漏洞的成因、利用及修复方法进行详细讲解

本文选自：http://mp.weixin.qq.com/s?__b...