Perspectives
数据通信2012.2
关于智能手机安全问题的若干思考*
胡爱群(东南大学信息安全研究中心南京210096)
摘要:智能手机由于其内置嵌入式操作系统,用户可以自由下载和安装软件,其安全问题更加突出。主要表现在易被植入病毒或恶意代码造成用户信息泄露、被远程操控对网络发起攻击,易被植入或被捆绑吸费既需要技术上的支持,更离不开相关部门的有效管理。文软件造成用户额外支付费用等。如何解决这些问题,
章从技术体系角度,分析了智能手机安全问题的成因,给出了解决问题的若干建设性建议。
关键词:智能手机;信息安全;合法性和完整性
1引言
随着3G移动通信和WLAN热点覆盖的普及应用,移动互联网已成为信息通信产业中发展最快、创新最活跃的领域。智能手机作为移动网络的主要接
)应用软件来源不用会导致移动终端被远程控制;(2明或假冒来源,用户在下载和运行这些应用软件时又很盲目,并不确知这些软件将执行何种操作,不知道是否应该信任这些软件,也没有渠道让他们正确
)智能手机存在多种无(3入终端,其数量巨大,且可随时随地的接入互联网[1]。地获取对这些软件的信任;
WLAN、Bluetooth等,接入包括GPRS/3G、智能手机日益凸显的安全问题,不仅威胁到终端本身线接入方式,一的安全,而且危及移动网络和互联网的运营安全[2]。方面,互联网上原有的恶意程序传播、远程控制、网络攻击等传统网络安全威胁向移动互联网快速蔓
鉴权机制上存在不一致性,如通常很多场合的WLAN网络无需鉴权就可接入,Bluetooth的接入认证码常设置简单,用户经常无暇顾及接入安全或顾此失彼,为
截至2011年10月,攻击者入侵移动终端打开了方便之门。本文将对上延。据中国反网络病毒联盟统计,
并给出解决问题的建议。国内累计发现移动互联网恶意程序4500余种,并呈述问题进行简要分析,大量被“毒媒”恶意软加速增长趋势。2011年5月初,
件控制的移动终端向国内某业务网站发起拒绝服务攻击,造成该网站一度瘫痪。另一方面,由于移动互联网终端和业务与用户利益密切相关,恶意吸费、窃取用户信息、诱骗欺诈等恶意行为的影响和危害更加突出。据国家计算机网络应急技术处理协调中心抽样监测显示,感染“手机骷髅”恶意程序的手机被控制大量发送彩信,诱骗其他用户下载此病毒,在此过程中会造成被感染的手机产生大量通信费用[3]。
智能手机出现上述安全问题的根源在于:(1)操作系统、应用软件存在安全漏洞,这些漏洞一旦被利
2智能手机的安全隐患及其成因分析
2.1智能手机软硬件体系结构
要分析智能手机的安全隐患,需要从其软硬件体系结构谈起。图1给出了典型的智能手机软硬件体系结构,由资源层、管理与执行层以及应用层组成。其中资源层包含了RAM、ROM、FLASH、无线模块等在内的所有存储和接口资源;管理与执行层包含操作系统和CPU,操作系统负责承接应用层的任务,透过CPU的指令执行功能访问资源层的资源;应用层则是由各种应用软件组成,其目的是通过读写资源层的
22*本课题的研究受国家863计划课题“移动终端安全技术研究(2009AA01Z427)”资助。
收稿日期:2012-02-222012.2数据通信
视点
Perspectives
在不被察觉的情况下窃取了用户的重要信息。2.3应用软件的漏洞及其被利用的例子
金山安全中心在2011年9月发布了多款手机管理软件存在的Wi-Fi漏洞,金山安全中心分析认为,这是目前为止国内最严重的智能手机安全风险[5]。
大多数智能手机用户都习惯于使用手机管理软件来管理手机。手机管理软件通过手机与电脑之间的内容同步来方便用户管理手机内的文件,安装软件和游戏等。大多数手机管理软件都是通过FTP服务管理手机内的文件,但FTP的用户名和密码却以未经
资源达到各种应用。
图1%智能手机的软硬件体系结构图
加密的明文保存在配置文件中,而且FTP登录也没有限制客户端。这就导致同一网络内的计算机均可通过登录FTP访问手机,尤其在开放的公共Wi-Fi环境下,同一网络的攻击者可以盗取手机内的所有个人信息,未经允许可以恶意访问、上传、删除、篡改手机的内容,给用户带来极大的危害。
2.4%来历不明的软件造成危害的例子
2011年第一个严重的手机安全事件就是由恶意
由图1可以看出,操作系统负责根据应用程序的读写资源,不同的应用也可以要求执行相应的操作、
访问相同的资源。理论上说,只要应用程序被安装执行,操作系统就应该无条件地执行应用程序的对资源读写的要求。
由于操作系统是一个庞大的软件,由若干个组件/进程组成,这些软件难免存在编写上的不足甚至
“飞流下载”在后台自动错误,在一些条件下,其执行的结果可能出现差错,软件引起的。恶意软件通过导致对用户的危害;另外,来历不明的应用软件存在下载,在用户不知情的情况下欺诈或者引导用户将恶意利用操作系统漏洞的可能。应用软件本身的严谨性通常要比操作系统差,经常存在漏洞。这些漏洞可能被其他的软件所利用。下面就以具体的例子进行说明。
2.2操作系统漏洞及其被利用的例子
作为一款开源操作系统,Android在手机平台上占有极大的份额,其安全问题也成为业界关注的重点。安全组织Trustwave在2011年8月发布了一个有关android的系统漏洞,黑客利用此漏洞可以伪造真实的登录界面以获取用户的账户和密码信息,甚至可以轻易地将木马病毒植入系统中[4]。
在Android系统中,如果同一时间有多个应用程序运行,当某一个程序需要弹出界面或者通知的时候,系统允许此对象自行弹出。这会导致用户在不知情的情况下被带入另一个程序的界面。例如,当用户运行一个带有登录界面的程序,系统中存在的恶意服务随即显示一个跟合法登录界面几乎一样的界面,而系统并没有提示用户这两个界面分属不同的程序。界面切换的时间很短,用户自身很难有所察
恶意软件安装到手机后,会攻击手机从而取得一些非法权限,让用户的手机在没有任何操作的情况下自动下载并出现流量,同时让手机上的其他安全防“杀护措施全部失灵。恶意软件会引导用户使用一款毒软件”对其进行查杀,同时必须付费2元人民币升级才能进行清除恶意软件的操作[6]。
从上述分析可以看出,要解决智能终端的安全)尽量减少操作系问题,要从以下几个方面入手:(1统和应用软件的漏洞;(2)必须保证安装到智能手机上的所有软件来历清楚,且不存在刻意嵌入的恶意代码;(3)必须由专门的权威机构对上述两条进行检测,对安全的软件发放数字证书,并可以方便地对用户进行安全服务。
3移动终端安全的几种当前解决方案
目前针对智能手机的安全问题,国际上主流解
决方案包括:
3.1基于手机病毒木马查杀的技术
手机病毒木马查杀的基本原理是:根据病毒木
编写适当的软件,比对病觉。当用户向界面提供了带有敏感信息的证书之后,马的代码特征或行为特征,
对病毒木马进行过滤。这种方法通常这些私密信息就被传送到远端服务器,使得攻击者毒木马的特征,
23
视点
Perspectives
具有显著的效果,能够让用户感觉到病毒木马被清除后系统效率的提高、某些功能的恢复或异样操作一是病毒木马的查杀经常的失效等。不足之处在于:
滞后于安全事件的出现,人们总是发现手机异常了才去安装防毒软件;二是防毒软件本身也是软件,在操作系统不安全或系统已经被注入特定的木马后,防毒软件不是总能发挥作用,可能并不能有效清除某些病毒和木马。
360手机卫士、金山手机卫士和网秦NetQin手机杀毒系统。
3.2基于移动可信计算平台的技术
从上面的分析可知,手机病毒查杀是很有效的方法,但也存在一定的问题。为此,国际上可信计算硬件体系结构和提出了可信移动平台(TMP)的软件、
协议规范。目的是保护移动终端的安全[8]。在该规范
10]中,提出了移动可信模块(MTM)[9,的概念,将它作为
数据通信2012.2
坏。(3)任何一个软件启用之前均需经过MTM的完整性检查,通过了才能被运行。完整性检查层是一个中间层,介于应用软件和操作系统之间,它计算上层应如用软件的完整性,把计算结果送给MTM检验比较,果检验结果正确,才允许运行。
上述基于可信模块的防护机制的优势在于:它属于事前防护,且无需识别是否存在病毒或恶意代码,无线带宽资源消耗小。这一解决方案看起来很美,全。通常手机系统启动后,很久才会重新启动,运行中的可信(即动态可信)环境如何构建是当前仍在研究中的问题。文献[10]提出了基于硬件地址实时监控的动态可信保护方法,防止系统运行中对完整性检查代码的篡改,但这是以增加高速实时硬件为代价的。用软件运行前先要做摘要,然后把摘要送到MTM进行检验。如果应用软件代码量较大,将会有明显的延(3)如何更时,影响用户使用智能手机的体验效果。新MTM中的软件完整性度量表。智能手机之所以受到大量用户的欢迎,就是因为其可以很方便下载新电子书阅读器等。为保证手机的应用软件,如游戏、系统的完整性状态,每一个新的应用软件都必须提供一个由权威机构颁发的完整性度量值,并将之安全地为了用户方便,只能采用在线更新完存放在MTM中。
整性度量表的方法,这就带来了安全隐患。首先目前尚无权威机构提供这样的服务,用户自己无法获得应用软件的正确的完整性度量值,进而也就无法审核下载软件的安全性;其次,如何保护在线更新软件自身的安全又是必须解决的问题。
3.3%基于域隔离的技术
延续上述思路,不难发现,智能手机安全的实质是:合法的软件只能访问其规定的资源,任何超出范围的行为都可能导致不安全的结果。比如,手机视频播放器只能调用音视频资源而不能访问电话薄,电话功能不可以启动网络连接等等。域隔离的思想就是给软件的每个进程甚至是每个独立功能的软件划分独立的工作域,域之间相互访问时需要鉴权,如果没有相应的权限就不能访问,这样就可以屏蔽大量的非法访问操作[11]。以Android操作系统为例,其给每个进程分配了唯一的身份号,并经过系统的签名,进程被允许的操作也是系统事先确认的,只有经过系统
目前国内著名的手机杀毒软件有:QQ手机管家、但也存在明显问题:(1)如何保护完整性检查层的安
组织(TCG)移动工作组将TCG的相关规范进行扩展,(2)系统效率问题。增加了完整性检查层后,所有应
移动终端的可信根,所有的软件和应用都建立在该可信根上,如图2所示。可信根负责对软件的完整性进行逐级度量,只要是完整性有问题的软件都可以被禁止运行。
图2%具有移动可信模块的智能手机软硬件体系结构
相比于图1,图2增加了移动可信模块MTM和完它存放了系统的整性检查层。MTM直接与CPU相接,
启动引导代码、完整性检验代码以及系统中所有软件的完整性度量值。它具有几个特点:(1)未授权不能被修改。通常是通过MTM本身的调试接口将其代码放入,而不是通过操作系统上的某个应用软件放入代码,这样可防止这段代码被非法修改。(2)MTM中的用于完整性检验的代码在系统启动时将首先被运行,其优先级要高于操作系统的启动。这样可以用MTM来检验操作系统的完整性,防止操作系统被破
24
2012.2数据通信
视点
Perspectives
哪些,并对其进行数字签名,保护其合法性和完整
这种通过对操作系统和应用软件的合法性和完整性进行检查,进而保护智能手机安全的做法,把技术上难以达到的安全问题转化为通过法律和执法对智能手机进行保护的方法。符合社会上对其他安全问题的解决方法,也具有可操作性。如果某个厂商出品的软件具有安全问题,危害了智能手机用户的安从而可促进正版软件的技术发展,精益求精,保护知识产权。这个体系目前尚未建立。
图4给出了基于软件合法性和完整性的移动终端安全体系结构图。
验证的进程才可以被运行,进程之间相互访问以及沙箱技术[12]也是一当然非法的软件是不能被运行的。
个典型的域隔离的例子。对于不安全的软件,可以将其置于独立的沙箱之中运行,沙箱中的应用软件并不直接访问系统资源,而是透过沙箱与系统的接口系统接口就可以限制应用软件的不进行访问。这样,
合理权限,达到保护手机资源安全的目的。
访问系统资源时均需要进行鉴权。在这样的体系下,性。
基于域隔离技术的智能手机体系结构如图3所示。全,造成其经济损失,从法律上就应该进行负责。也
图3基于域隔离技术的智能手机体系
图3中,应用程序调用进程时,首先要进行身份和权限验证,通过验证后才能调用。进程之间进行通讯时也要相互认证。图中的资源域管理程序及身份与权限验证程序必须保证安全,属于高安全级别的程序,且后者比前者级别更高。
在上述体系中,关键问题仍然是:如何保证管理与执行层安全;如何保证应用程序的合法性,即其对任一进程的调用是合法的,如其所声称的那样,不会泄漏用户的信息,不会危害终端的安全。
图4%基于软件合法性和完整性的移动终端安全体系
图4中,软件提供者提供的软件供用户下载前必须经过权威部门的检测和签名,智能手机中的合法性和完整性检查代码会检查出用户下载的应用软件是否具有权威机构的签名,如果没有则禁止其运行,并报告给权威机构。在现实情况下,用户经常下载来历不明的软件,如果用户坚持运行,则可能会危害用户的安全。所以,图4中的安全服务能否做好,也是该体系能否成功推广的关键。
4%基于软件合法性和完整性的移动终端安全
解决方案
从上述分析可知,要保证智能手机的安全,应具备以下几个要素:(1)操作系统的安全,即应没有可明显利用的漏洞。这是智能手机安全的基石,如果操
5结束语
本文从技术角度论证了保护智能手机安全的途
作系统不安全,建立在上面的应用就如同空中楼阁。径,提出了基于软件合法性和完整性的移动终端安
其核心是用户必须使用正版软件。该体系可为达到这一点,应采用正版的、普遍采用的操作系全体系,统。操作系统软件必须通过权威部门的检测,明确其是否有可利用的漏洞,支持哪些应用,并对其进行数字签名,保护其合法性和完整性。(2)应用软件的合法性和完整性,即应用软件来历清楚、合法,其功能完全如其所声称的那样,其完整性没有遭受破坏。为达到这一点,应用软件必须通过权威部门的检测,明确其是否有可利用的漏洞,其对资源的访问范围有
能在应用上会受到用户的抵制,因为用户可能会感到使用上的不便,比如不能随便下载来历不明的游戏软件。如何从服务上改善用户体验,是必需研究的课题。网络运营商、软件提供者、权威部门需要广泛协作,为用户提供尽可能丰富的软件、尽可能完善的软件检测认证服务和下载服务,解决好软件版权归属和安全事件责任等系列问题,才是解决智能手机
25
视点
Perspectives
安全的根本之道。另外,病毒查杀技术作为本文所提技术的重要基础,是不可或缺的。因为无论是手机还是网络上的软件提供者都需要一个干净的无毒的基础环境,这需要靠病毒查杀技术才能解决。在此基础上建立的基于软件合法性和完整性的移动终端安全体系才是安全高效的。
数据通信2012.2
[6]金金.手机反病毒厂商自演恶意吸费.信息安全与通信保
密,2011(4):15-16
[7]韩筱卿,王建锋,钟玮.计算机病毒分析与防范大全.北京:电
子工业出版社,2008,476-481
[8]陈书义,闻英有,赵宏.基于可信计算的移动平台设计方案.
东北大学学报(自然科学版),2008,29(8):1096-1099[9]TCGMobileReferenceArchitectureSpecificationVersion1.
0.https://www.trustedcomputinggroup.
org/specs/mobilephone/tcg-mobilereference-architecture-1.0.pdf,Jun,2011
[10]TCGMobileTrustedModuleSpecificationVersion1.0.
https://www.trustedcomputinggroup.org/specs/mobilephone/tcg-mobiletrusted-module-1.0.pdf,Jun,2011
[11]胡爱群,李涛,薛明富.基于安全服务的移动网络安全防护
技术.中兴通信技术,2011,17(1):21-26
[12]M.Carbone,L.Wenke,D.Zamboni.Tamingvirtualization.IEEE
SecurityandPrivacy,2008,6(1):65-67
[13]R.Tzur.Sandboxie3.4.Available:http://www.sandboxie.com,
Sep,2009
胡爱群,东南大学信息安全研究中心主任,教授,博作者简介:
导。主要从事安全通信方面的研究。■
参考文献
[1]D.Krishnaswamy,R.N.Hasbun,J.P.Brizek.Securemanageable
mobilehandsetplatformarchitectures.IEEECommunicationsMagazine,2006,44(9):158-165
[2]N.Leavitt.MobileSecurity:Finallyaseriousproblem?.IEEE
Computer,2011,44(6):11-12
[3]曹天鹏.工信部:加大监管移动互联网网络安全问题力度.
http://tech.hexun.com/2011-12-28/136758578.html,2011年12月28日
[4]FocusStealingVulnerabilityinAndroid.https://www.trust-wave.com/spiderlabs/advisories/TWSL2011-008.txt,Jan,2012[5]多款安卓手机管理软件存WI-FI漏洞.http://www.ijinshan.
com/news/20111219001.shtml,2012年2月11日
简讯
宽带户数我国1.58亿居首
年增长率20.3%
非政府组织宽带论坛(BroadbandForum)最新发布的报告称,去年全球宽带增长达到新高,中国的宽带用户数则位列全球第一位。该报告显示,去年全球宽带和IPTV的增长达到了过去5年来的新高,其中全球宽带用户增长6549.36万,宽带用户总数达到5.97亿,年增长率达到12.3%。在各个国家和地区中,中国宽带用户数达到1.58亿,位列全球第一,年增长率为
全球LTE手机出货量今年将激增十倍
达6700万台
据市场调研机构StrategyAnalytics最新研究显示,全球LTE手机出货量将于2012年增长十倍,达
6700万台。2012年是4G技术实现突破的一年,StrategyAnalytics的分析师尼尔·沙阿(NeilShah)表
示:“我们预测全球LTE手机出货量暴增10倍,从
2011年的680万增至2012年的6700万。推动今年LTE
增长的主要国家包括美国、日本和韩国,如
VerizonWireless、NTTDoCoMo和SK电信公司等正
在积极扩大其LTE网络;推动LTE手机出货量增长的关键厂商包括苹果、三星、宏达、LG、诺基亚、摩托罗拉、泛泰和富士通。”
(来源:飞象网)
20.35%;美国和日本分别为9163万和3670万。金砖国
家中,俄罗斯的宽带增长率最高,达到36.85%。
(来源:中国通信网)
26
因篇幅问题不能全部显示,请点此查看更多更全内容