本文来自微信公众号“安全牛”。
当前,新技术的创新应用加速了数字世界和物理世界的深度融合,引领人类社会进入全新的发展阶段。然而,一个不可否认的现实是,人们如今所享受的许多创新技术和先进功能,最终也会被恶意攻击者所利用。很多新技术在投入应用之前,并没有充分考虑安全性和隐私保护等情况,因此为威胁行为者提供了新的攻击入口。
新技术创新所引发的安全风险与传统的网络攻击并不一样,后者一直是大众普遍关注和防范的焦点安全问题,但是新技术应用却因为其天然的“创新”属性,让使用者忽视了其中的安全风险。在本文中,全面梳理了过去5年中,10个由新技术应用所引发的真实威胁案例,并对案例的危害和特点进行了研究分析。
01
生成式人工智能的恶意利用
随着ChatGPT的公开亮相,生成式人工智能成为2023年最热门的创新技术之一。该技术能够根据用户输入的提示生成文本、图像、代码或其他类型内容开展智能化机器学习。但是由于在设计和应用过程中很少考虑安全或隐私,生成式人工智能几乎立即便被网络攻击者武器化应用。攻击者大量用它来制造虚假信息,让缺少专业能力的恶意人员也可以轻松地进行“深度造假”(deepfake)创作。
在各大暗网的黑客论坛上,恶意版本的生成式人工智能即服务(generative AI-as-a-service)已经被广泛用于生成恶意代码,协助复杂的deepfake创作,以及大规模发起更有欺骗性和杀伤力的商业电子邮件入侵(BEC)活动。
02
Intel主动管理技术(AMT)漏洞
Intel的AMT技术旨在促进设备的远程管理,使IT管理人员能够远程管理和修复PC、工作站和服务器。为了防止功能被未授权的用户滥用,AMT服务会使用HTTP摘要认证和Kerberos验证机制。
然而,在实际的应用中,安全运营人员发现,一个关键的权限提升漏洞就出现在Intel AMT Web界面通过HTTP摘要认证协议认证用户的环节。通过利用该漏洞,攻击者可以远程加载执行任意程序,登录设备、执行恶意活动,包括修改系统和安装一些难以被发现的恶意软件等。
03
Google+API漏洞
Google+曾被视为Google应对Facebook挑战的战略性创新产品,旨在帮助Google公司“修复”当时问题重重的社交网络,但却在2018年仓促落幕。事情源于2018年3月,Google在一次自查中发现Google+存在一个API漏洞,可能导致将大量用户的个人隐私信息(包括用户的姓名、电子邮件地址、性别和年龄等敏感信息)泄露给开发人员。该漏洞直接影响了约52.5万名用户。由于难以解决以上安全风险,Google公司被迫关闭了Google+服务,这一曾被寄予厚望的创新产品最终沦为Google公司最失败的战略决策之一。
04
Facebook好友权限滥用
2018年,Facebook允许用户授予第三方应用程序访问其好友数据的权限,但是这也为一些市场分析公司(Cambridge Analytica)非法获取并利用用户数据提供了便利。据相关媒体报道,一家名为剑桥分析的公司通过一款个性测试APP接触到Facebook用户,在这款测试中,用户被要求“授权允许该应用获取自己和朋友的Facebook数据信息”,虽然只有27万名用户同意,但“滚雪球”效应之后,这款应用最终获取超过5000万Facebook用户的信息。而剑桥分析公司却非法将这5000万用户的个人信息出售给了第三方。该事件导致Facebook遭遇到用户的信任危机,不仅受到高达2亿美元的罚款,还致使公司股价一路暴跌,市值蒸发超过500亿美元。
05
生物识别认证技术
智能手机制造商推出了面部识别和指纹传感器等生物识别认证方法。然而,研究人员证明,使用照片或3D模型就可以轻松欺骗这些方法。2017年,研究人员使用一个并不复杂的硅胶面具就轻松解锁了一部智能手机;2018年12月,研究人员又使用3D打印石膏人脸成功破解了多款主流智能手机上的AI人脸识别解锁功能。
2022年8月,英国消费者组织测试了48款最新推出的智能手机,结果发现其中19款(相当于新上市手机的40%)在安全和隐私测试中表现出一个严重漏洞:只要用一张2D打印的机主面部照片就能通过人脸识别,这为犯罪分子轻松解锁手机和窃取机主信息提供了便利。
06
Spectre和Meltdown CPU漏洞
CPU(中央处理器)是信息化系统中最核心的组成要素,直接驱动着各式各样的电子设备。而2018年初曝出的“熔断”(Meltdown)和“幽灵”(Spectre)CPU硬件漏洞,反映出新一代CPU在企业数字化应用中的安全风险不断加大,全球几乎所有高性能CPU都受到了该漏洞的影响。由于此次漏洞本质上是由一系列硬件问题或者硬件缺陷造成的,采用传统的安全工具根本无法察觉,也无法实现有效检测、预警和抵御。
这些漏洞利用OEM设计的特性来增强来自多个供应商的中央处理器(CPU)的性能,通过利用处理器的超前执行机制(如乱序执行、分支预测)和对缓存的侧信道攻击,从而允许任何程序(包括web应用程序和浏览器)查看受保护内存区域的内容,这些区域通常包含密码、登录名、加密密钥、缓存文件和其他敏感数据。
07
WhatsApp加密后门
2017年,WhatsApp实施了端到端加密来保护用户信息。然而,来自加州大学的安全研究人员Tobias Boelter发布报告称,Whatsapp所采用的基于Signal协议的加密方式被植入了恶意后门,入侵者以及情报机构都可利用这种基于信任的密钥交换机制去拦截用户信息,而用户却对此一无所知。
具体来说,当用户A和B需要加密通信时,WhatsApp会在后台服务器中自动交换双方的通信公钥。WhatsApp服务器上存储由双方协商的公钥,而私钥则是A/B的设备双方在本地生成的。理论上,当B的设备已经不再有先前双方协商的密钥时,理应是无法对A发送的消息进行解密的,但实际上在B用新设备登录WhatsApp后依然可以收到A发送的消息。这就是WhatsApp的“后门”所在。当B重新上线之后,WhatsApp会自动交换双方的新密钥,而这个过程是不会通知用户的。如果有攻击者C恶意用自己的公钥来替换B的公钥,那么所有消息将自动加密后发往C,并且也只有C的私钥可以对这些信息进行解密。
08
Zoom端对端加密(E2EE)风险
2020年4月,美国国家安全局的研究人员表示,主流在线会议平台Zoom存在重大安全漏洞,或导致私人Zoom视频被上传至公开网页,任何人都可在线观看。在重重压力之下,Zoom公司在当年5月推出了端到端加密(E2EE)功能,要求所有用户都生成公共加密身份,以在与会人员之间建立信任关系。
然而,安全研究人员观察发现,Zoom所添加的端到端加密功能中,却存在更加严重的安全漏洞CVE-2023-28602,它是由对加密签名的不当验证所引发,使攻击者能够对Zoom客户端组件进行恶意降级,从而影响到数百万依赖该平台进行会议沟通的用户。
09
智能IoT设备
研究数据统计,2022年活跃的物联网端点数量为143亿个,同比增长18%。预计到2023年,全球联网的物联网设备数量将增长16%,达到167亿个活跃端点。但是事实上,这些IoT设备(智能摄像头和语音助手等)的激增带来了大量的安全漏洞。据Forrester Research最新发布《2023年物联网安全状况》报告指出,由于安全性薄弱,物联网设备已经成为企业组织报告最多的外部攻击目标。对于网络攻击者而言,它们比移动设备或计算机更容易实施攻击活动,而且覆盖面更加广泛。
10
IoT僵尸网络
2016年,Mirai僵尸网络发动了大规模的分布式拒绝服务(DDoS)攻击。犯罪分子利用数以百万计的物联网设备,如联网的婴儿监视器、防盗报警器、摄像头、恒温器和打印机,发动了一次成功的攻击,削弱了个人连接互联网和亚马逊、Netflix和Twitter等大公司网站的能力,时间长达数小时。
自此之后,IoT僵尸网络便被企业IT和安全领导者列为关键威胁。在此类攻击中,攻击者会通过未受保护的端口或网络钓鱼软件感染IoT设备,并将其纳入IoT僵尸网络,从而触发大规模网络攻击。IoT僵尸网络经常用于DDoS攻击,以淹没目标的网络流量。僵尸网络操作者之所以将物联网设备视为关键目标,主要在于其安全配置较弱,且可纳入僵尸网络的物联网设备数量很多。2023年《诺基亚威胁情报报告》发现,参与僵尸网络驱动的DDoS攻击的物联网机器人数量,从上一年的约20万台设备增加到100万台设备。
结语
以上事例表明,在各种创新技术和产品中,会存在大量的安全漏洞可用于窃取有价值的信息或破坏业务,并可能在多方面的攻击中被反复利用。因此,组织必须采取行动。安全研究人员建议,组织可以采取以下基础卫生措施来最大化防御力度:
●定期修补和更新系统及应用程序;
●定期和频繁地测试备份;
●加强系统监控流程;
●采用纵深防御方法;
●持续地教育和培训;
●实施多重认证机制以及严格的访问控制和最小特权原则;
●全面审查业务部门跨职能事件响应计划。
此外,对于技术创新者来说,真正的安全解决办法是在新技术设计之初就系统性考虑安全和隐私需求,并从道德规范角度来驱动这些安全元素被真正落地。只有这种安全心态被完全接受和“融入”创新,才能真正有效地降低技术创新引发的相关危害。
