筆者認為未來的軟件漏洞領域主要存在以下新挑戰，本文將一一介紹。

　　● 移動終端漏洞

　　● 云計算平臺漏洞

　　● 物聯網漏洞

　　移動終端漏洞發展趨勢

　　移動互聯網時代早已到來，以智能手機為主的移動終端也逐漸被黑客所關注，針對移動終端的漏洞和病毒正在呈倍增長，發展迅猛。面對日趨增長的安全威脅，最受影響的主要移動終端系統是Android與iOS，這也是當前用戶量最多的兩大移動操作系統。移動終端系統的風險除本身系統的安全性外，安裝在系統上的其他應用也是引發風險的關鍵點。

　　根據CVE漏洞庫（http://web.nvd.nist.gov/view/vuln/statistics）中Android與iOS系統漏洞數量的情況，繪制出Android系統漏洞和iOS系統漏洞的統計圖，分別如下圖所示，這里不包括第三方應用的漏洞統計。從統計圖看，Android系統漏洞呈“山”字形發展，在2012年達到頂峰，這3年有下降趨勢，一方面跟Android系統所加入的一些新安全機制有關，另一方面跟它的開放性有關，這為許多安全研究者提供了更多的利用資源，雖然如此，但Android系統所帶來的安全風險將持續存在。實際上，Android系統漏洞應該不止這些，因為Linux內核漏洞也會影響到Android，部分漏洞可能未在統計數據范圍內。再回頭看下iOS系統漏洞情況，其漏洞數量基本保持持續上升的趨勢，2015年已經達到歷史最高。由于iOS的封閉性，導致iOS安全研究者相對較少，這幾年關于它的安全書籍和文章逐漸增加，使得更多安全人員加入iOS安全研究的行列，其被挖掘出來的漏洞也跟著有上升的趨勢。

　　CVE漏洞庫中關于Android系統漏洞的統計圖 （注：Linux內核漏洞未在統計范圍內，但它也會影響Android系統的安全性，因此實際的Android漏洞數量會更多）

　　CVE漏洞庫中關于iOS系統漏洞的統計圖

　　對于Android平臺，特別是容易影響第三方應用的通用型漏洞，更容易被黑產所關注和利用，比如WebView漏洞、圖片解析庫等，未來也會有更多的病毒使用系統漏洞以擴大其危害和傳播量。由于手機便攜，很多個人隱私信息會直接保存在上面，而且隨著移動支付的興起，通過攻陷手機往往可以拿到很多有價值的信息，比如個人隱私、金融交易密碼等，然后再拿來變售個人資料，對竊取的金融賬號進行洗錢。另外，一些安全廠商可能也會購買Root提權漏洞，以應用到他們自主開發的Android Root工具中，幫助用戶擴展手機使用權限，以使用很多原本無法使用的軟件。

　　對于iOS平臺，越獄一直是個熱門的話題，在越獄中使用的漏洞也是非常有價值的，一個越獄漏洞可能賣到50多萬美元。一方面是由于iOS安全的門檻相對Android要高很多，而且研究人員也比Android少；另一方面，由于越獄后所能帶來的額外利益非常大，找贊助商打廣告也是輕而易舉的事，可謂名利雙收。因此，一個越獄漏洞是完全值那個價位的，將來隨著越獄難度的增加，黑市的價格也肯定會跟著上升，但實際上要實現完美越獄都需要多個漏洞組合。

　　由于智能手機平臺上的應用經常也會嵌入WebView組件以支持網頁瀏覽，所以手機應用也會涉及Web攻防，這就要求移動終端漏洞分析人員的知識面更全面，最好具備二進制與Web攻防的能力，才能更全面地分析和評估移動終端應用。

　　云計算平臺漏洞發展趨勢

　　云計算平臺可以為用戶提供“云”上的服務，這里的“云”可以理解為網絡或互聯網，用戶可以在云上運行自己的程序，同時享受云所提供的服務和資源，不必使用自己的電腦來運行開發的程序，節約軟硬件成本。國內的云平臺主要有阿里云、騰訊云、新浪SAE、百度云、盛大云等，國外的有Google GAE、亞馬遜AWS、微軟Azure等。

相關電子資料下載

• 什么是適配器模式 112
• 英特爾首次展示14代酷睿Raptor Lake Refresh 處理器 389
• 愛普特32位MCU APT32F1023H8S6在BEEM咖啡機中的應用 159
• 基于愛普特32位高性能單片機APT32F1023H8S6的筋膜槍拆機報告 191
• 什么是Adaptive AUTOSAR？不使用Adaptive AUTOSAR行不行？ 110
• 基于高通 QCC5181 aptX adptivite 24 bit-96KHz/Lossless藍牙擴大機方案 2282
• 國芯思辰｜愛普特32位MCU APT32F1023F6U6用于計數器 221
• PS5PS4游戲機藍牙5.2發射器QCC3040方案 542
• QCC3040藍牙音頻發射器支持一拖二方案高通 1402
• 碩盟SM-T54USB-C 多功能擴展塢 USB-C Multifunction Adapter 說明書 453