【摘要】对智能终端面临的安全威胁的具体形式、特点和发展趋势进行了总结分析,重点对恶意应用带来的安全威胁进行深入探析,并对现有的主流智能终端操作系统采取的安全机制进行了研究分析。在此基础上,研究提出提高智能终端安全防护能力的相关措施。
【关键词】智能终端安全威胁恶意应用操作系统
中图分类号:TP929.53文献标识码:A文章编号:1006-1010(2014)-07-0025-06
1 引言
智能终端已与人们的工作、生活高度融合,逐渐成为人们进行通信、获取信息、购物、支付甚至是办公等活动的核心工具。随着移动应用数量的急剧增长和智能终端在计算、存储、通信等方面能力的迅速提升,移动互联网对社会生活各个方面产生了深远影响,促使人们的工作、生活模式发生了显著变化。与此同时,与智能终端相关的安全事件层出不穷,如隐私泄露、恶意扣费、偷跑流量等。
智能终端的总量已与台式电脑相当,然而现有的安全防护产品大多是以个人电脑和桌面操作系统为对象进行研发的,针对智能终端的安全防护产品的数量和种类非常有限。产业对此的关注和投入不足,造成智能终端安全防护能力相对滞后,面临的安全威胁数量和类型不断增多,尤其是恶意应用已经成为智能终端面临的最严重的安全威胁,严重影响了移动互联网应用的推广。
2 智能终端安全威胁
2.1安全威胁分析
根据趋势科技公司的统计数据,2013年,侦测到针对Android操作系统的恶意应用和高风险应用已超过130万,而这一数据在2012年仅为35万,其中大约27%的应用被定义为高风险应用,剩下73%的应用被定义为恶意应用。根据Mobile App Reputation Technology公司统计的2013年感染或下载量排名前20的恶意和高风险应用,得到2013年恶意应用的主要类型和比例分布如图1所示,其中有的恶意应用同时具有多种类型的恶意行为。
智能终端面临的安全威胁形势不断变化,恶意应用也在不断提高威胁水平,恶意应用的行为更为隐蔽和多样化。总的来看,恶意应用的发展趋势可以归纳为以下几点:
(1)可定向攻击恶意应用初现
通常,恶意应用在选择攻击的目标群体时只考虑是否可以获利,不因目标群体的某种属性不同而区分对待。但是,目前出现了可针对特定群体进行攻击的恶意应用,如有些恶意应用可将某国的智能终端用户列为特定攻击目标,通过读取智能终端中存储的相关信息来判别该终端用户是否属于攻击目标,从而决定是否开展攻击。
(2)用户个人数据和隐私窃取增加
由于智能终端承载的与人们生活、工作相关的业务越来越多,终端中积累了用户大量的个人数据,如照片、通讯录、账户和密码等。黑客通过部署恶意应用窃取用户个人数据和隐私信息,通过贩卖等非法手段获利,有的恶意应用通过盗取用户银行账号和密码直接窃取用户财产。
(3)恶意应用诈骗猖獗
根据2013年的统计数据发现,利用移动应用进行诈骗的安全事件数量有明显增加。以经济诈骗为主要目的的恶意应用通常利用虚假广告信息吸引用户点击进入目标网站,并骗取用户注册和付费来获取利益。有的恶意应用甚至只需用户点击一次应用中嵌入的广告就能完成用户资费扣除,从而非法获利。趋势科技公司统计发现,2013年下半年,此类仅需用户一次点击即可完成用户资费扣除的恶意应用数量较上半年增长了10倍。
(4)操作系统漏洞成为攻击首选目标
操作系统漏洞一直都是智能终端安全防护的重点。有的系统漏洞一旦被利用,可直接获取系统最高权限和控制终端。即使是通过打补丁的方式修补漏洞,在操作系统更新完善过程中也仍然给黑客留下了大量的可乘之机。目前,网络上有定制化的智能终端操作系统供免费下载使用,其中有的操作系统存在严重的安全漏洞,操作系统中带有的预置应用可利用漏洞获取系统最高权限和进行恶意操作。2013年Android操作系统被曝出“Master Key”漏洞,利用该漏洞可以在用户不知情的情况下对终端上安装的应用进行修改,这意味着终端上的任何应用都有可能成为恶意应用;而且,现在可能还有终端没有修复该漏洞。
(5)恶意应用攻击途径扩展
2013年出现了多起智能终端和与其连接的个人电脑相互攻击的安全事件,涉及基于Android、Windows Mobile、Blackberry等主流操作系统的智能终端。在智能终端向个人电脑发起攻击的安全事件中,出现了一款名为USBCLEAVER的恶意应用,该应用会下载针对个人电脑的病毒程序存储在终端SD卡上,当智能终端连接个人电脑时,应用自动将病毒传送至电脑上从而窃取用户在电脑中存储的个人隐私。
2.2恶意应用的安全威胁
智能终端在刚进入市场时,社会对其可能面临的安全问题没有足够重视,主要有两点原因:一是传统手机上安全问题并不突出,安全状况相对良好,网络运营商对终端和业务控制程度较高,业务环境相对封闭;二是应用软件数量少,移动互联网与人们的生活融合较浅,智能终端对于黑客的经济利益吸引力不足,恶意应用软件的主要目标尚未从个人电脑向智能终端转移。
随着智能终端的迅速普及和移动应用数量的急剧增长,移动互联网已与人们的生活高度融合,承载了与人们工作、生活相关的大量重要业务,尤其是金融、支付业务。对于黑客而言,移动互联网极具吸引力,纷纷将攻击目标转向智能终端。同时,移动应用商店不断增多,增加了移动应用的发布渠道和扩散速度;由于应用商店对恶意应用缺乏足够的重视和安全检测措施,移动互联网上恶意应用数量迅速增加,因恶意应用引起的安全事件更是与日俱增。艾瑞咨询与安全管家联合发布的《2013年移动安全数据报告》显示,2013年,安管云开放平台检测到恶意应用1 122万次,全年新增恶意软件69万个,较2012年增长5倍多,移动安全形势更加严峻,恶意应用检测和防范成为移动互联网亟待解决的安全问题。
2.3恶意应用的主要类型
针对智能终端的恶意应用与针对个人电脑的恶意应用在具体形态上很相似,根据目前的检测结果分析,其主要有以下四种:
(1)木马后门
黑客通过在恶意应用中嵌入木马后门实现对智能终端的控制,在用户不知情的情况下进行后台恶意操作,如收集用户个人隐私,甚至是安装其他恶意应用。木马后门还有被用来开展网络钓鱼(Phishing)等危害用户经济利益的恶意行为,而通常是通过伪装成具有某种正常功能的移动应用,通过应用商店或者是社交网络扩散。
(2)僵尸网络
僵尸网络是利用僵尸程序(恶意控制功能的应用)实现对大规模智能终端的远程控制,从而构成控制主机与智能终端之间的一对多控制网络。通常僵尸网络控制的终端规模较大,具有分布性,随着僵尸程序的传播,僵尸网络规模不断扩大,控制主机通过大量被控终端向网络侧发送垃圾电子邮件或是发起DoS攻击。
(3)蠕虫病毒
蠕虫病毒是一类具有自我复制和传播能力的恶意应用,此类病毒已在个人电脑广泛传播,目前在智能终端平台上频繁出现。蠕虫病毒主要通过消耗终端系统内存、计算资源、带宽等降低终端性能,很少对终端用户造成麻烦。不过人们已经发现了具有窃取智能终端用户个人隐私数据功能的蠕虫病毒。
(4)Rootkit
Rootkit是一种可以获得智能终端最高控制权限的恶意应用,它与智能终端操作系统紧密关联,利用操作系统底层的核心功能将自身程序文件和行为隐藏,用户和常规的安全软件难以发现。由于具有最高的系统权限,Rootkit能够在系统内核中进行恶意操作,可直接启动智能终端的摄像头、麦克风、GPS等硬件,给终端和用户带来安全危害。
2.4其他安全威胁
(1)智能终端丢失或失窃
目前,网络接入越来越便利,智能终端易于携带,终端承载的业务类型越来越多,但这也极大增加了智能终端丢失或失窃的机率。终端丢失或失窃不仅使终端中存储的用户个人信息面临被泄露和滥用的风险,也使得终端中存储的与工作相关的信息面临泄露的风险,进而给用户办公信息系统带来安全威胁。
(2)通信窃听
智能终端大多采用无线通信技术接入网络,但由于无线信号传输具有广播特性,黑客接入用户信道相对容易;另外,空口处的无线传输协议是公开的,获得并实现协议相对容易。目前,超过50%的智能终端具有Wi-Fi通信能力,预计到2015年,接近90%的智能终端都将具备Wi-Fi通信能力。由于具有Wi-Fi通信能力的设备较为普遍,价格便宜,Wi-Fi协议已在互联网上公开,互联网上甚至还有公开的Wi-Fi攻击工具研制方法,即使是非专业人员,也有可能开展Wi-Fi攻击。还有的智能终端与网络之间采用明文传输用户敏感信息,甚至是账号、密码等,黑客窃取用户信息更为容易。
(3)过度和错误使用
由于智能终端承载与人们生活、工作相关的大量业务,使用频度高,有的终端24小时连接互联网,极大抬升了智能终端安全风险程度。有的终端用户安全风险意识不强,随意下载安装来历不明的移动应用,甚至更换智能终端操作系统,使用公共场所的Wi-Fi网络处理金融、支付、工作相关业务,也不重视终端安全防护,对终端各项安全配置不了解,让终端自带的安全防护措施长期处于关闭状态。
3 智能终端操作系统安全机制
3.1Android系统安全机制
Android操作系统是目前市场占有率最高的智能终端操作系统,它基于Linux内核研制,具有开放的特点,获得了大量的移动应用开发者支持。为了避免因Android操作系统的开放性而导致出现安全事件,谷歌公司对Android操作系统进行了安全加固,并采用了系统权限许可机制,以提高系统的安全性。图2为Android操作系统的安全机制模型:
图2Android操作系统安全机制模型
Android操作系统安全机制采取在沙箱(sandbox)环境下进行应用隔离的安全策略,具体是指操作系统为每个应用构建独立的执行环境,应用之间无法互相影响。为了实现应用隔离,操作系统采用了标准的Linux控制机制,在每个应用安装时就为其分配user ID,这样应用相关文件可通过user ID进行关联并明确访问权限,在没有获得授权的情况下,user ID不同的应用无法访问对方的文件,从而实现对文件访问权限的管理,提高系统安全性。系统根用户(Root User)拥有对操作系统文件的最高管理权限,普通应用则没有修改重要系统文件的权限。在内存管理上,每个应用是一个独立的进程,运行时系统将为其分配独立的内存空间。内存管理单元(MMU)承担了内存物理地址和虚拟地址之间的转换,同时也承担了内存安全相关的功能,通过这种方式,防止应用在特权模式下执行操作从而对系统安全造成威胁。
目前,Android操作系统采用的应用隔离模式是一种有效的系统安全机制,但使用该模式可能导致应用的某些功能无法实现,如连接网络、启动摄像头、获取位置信息等,使得应用的效果和功能等受到影响。为此,谷歌公司考虑在保障操作系统安全的前提下,尽量给予应用开发者足够的自由,以丰富应用市场,推广Android操作系统。为此,如图2所示,不同的应用可以通过shared user ID来实现数据和组件共享,并可在同一进程中运行。当两个不同应用的数字签名相同时,可为两个应用分配同一shared user ID,应用开发者可使用同一密钥为两个应用签名从而为应用配置相同的数字签名。但由于缺乏认证机构来确保应用签名的真实性,因此,现在只能是由应用开发者自己确保应用签名密钥的安全来保障应用签名的安全。
与shared user ID机制互为补充的是Android操作系统权限许可机制。权限许可机制不仅可以让不同的应用之间共享数据和应用组件,同时也可以让应用访问系统的关键组件。每个应用通过向系统申请权限以访问系统资源,也可向其他应用开放它获得的权限,权限的申请通常是在应用安装阶段。Android操作系统根据权限的重要性将权限划分为四个不同的安全等级,即normal、dangerous、signature和signature-or-system,其中:
(1)normal级的权限安全等级最低,通常应用只要申请即可获得。normal级的权限对系统和用户的安全影响较低,如终端振动功能。
(2)dangerous级的权限需要应用在安装时获得用户的确认授权,这类权限对应的资源或功能通常都是与用户个人数据、系统重要资源有关,如拨打电话、网络接入、位置信息等。
(3)signature级的权限要求应用与系统或应用使用相同的数字证书,这与shared user ID机制的要求一样;但在应用访问数据和组件时,signature模式将采取更多的安全控制措施。
(4)signature-or-system级的权限要求和signature级一样,但将控制范围扩展到了操作系统中预装的应用。需要注意的是,signature级和signature-or-system级的权限都没有用户确认过程。
3.2iOS操作系统安全防护
iOS操作系统与Android操作系统的安全机制完全不同。根据苹果公司的业务模式,基于iOS操作系统的应用只能通过苹果的官方应用商店进行发布。在应用进入发布渠道前,应用开发者需将应用提交给商店进行审查,以确保应用安全。通过商店审查的应用被视为安全的应用,它可以获得大量在Android操作系统中被视为敏感或重要的系统权限,如网络接入、启动摄像头、获取位置信息等。在Android操作系统中,敏感和重要权限通常需要用户授权,iOS操作系统则要求应用开发者使用系统提供的安全API来进行开发,并对应用进行审查。审查中,不仅要对应用中是否包含恶意代码进行审查,还要对应用是否正确使用系统API进行审查,以确保应用安全。
iOS操作系统安全API位于核心服务层(Core Services Layer),它们是基于核心操作系统层(Core OS Layer)提供的功能和服务构建,核心服务层包含了应用运行所需的基本系统服务,应用通过调用核心服务层安全API实现各项功能。iOS操作系统有一项重要的安全措施称为Security Server(守护进程),它主要负责信任链访问、根证书管理等安全相关服务。任何应用如果需要使用密钥链、证书、密钥等服务,都需要通过Security Server,但该服务不以API的形式来实现。以下是iOS操作系统中相对重要的安全服务:
(1)Keychain Services API,是实现存储密码、密钥、证书和其他秘密数据的一项系统服务,但需要系统的加解密服务、数据存储服务和公共加密动态库(Common Crypto dynamic library)等的配合。
(2)CFNetwork,是实现创建和维护安全数据流的一项系统服务,该服务还可在消息中增加鉴权信息。它通过后台调用系统相关安全服务来创建安全连接。
(3)The Certificate, Key and Trust Services,可提供创建、管理、读取认证信息,向密钥链中增加认证信息,创建加密密钥,加解密数据,对数据签名和验证签名,管理系统信任策略等服务。在实现上述服务的过程中,需要调用公共加密动态库和其他核心操作系统层服务。
(4)Randomization Services,是生成供系统各类加密操作使用的安全伪随机数的服务。伪随机数由特定算法产生,仅凭生成的随机数无法推导得出算法。为产生伪随机数,该服务需要调用核心操作系统层的随机数生成器。
4 智能终端安全防护
可以预见,未来针对iOS、Android等主流智能终端操作系统的恶意应用数量将不断增加,黑客将不断深入挖掘操作系统漏洞,恶意应用的研发、交易和传播等工作将更为专业化和规模化,恶意应用地下产业链将更为庞大,安全形势严峻。为此,需要有针对性地开展相关法规标准制定、技术研发等工作,提高智能终端安全防护能力。
(1)提高终端主动安全防护能力
智能终端无线和硬件接口不断增多,承载的业务类型和数量也不断增加,需要对智能终端自身软硬件进行安全加固,并提高智能终端实时主动安全防护能力。在安装安全防护软件的基础上,能够及时自动更新恶意应用特征描述,支持对终端内存、扩展存储卡、接收的文件等的实时安全检测和安全提示、告警等能力。
(2)建设终端丢失或失窃后的安全保护能力
为减少因终端丢失或失窃带来的安全风险,一方面要向用户提供终端数据的远程备份服务;另一方面需要建设提供终端丢失或失窃后的远程控制和数据保护等服务能力,如终端定位、锁定、数据删除等,尤其是针对企业级智能终端用户,要研究建立面向群用户的终端安全管理机制和系统。
(3)确保无线传输安全
现有的智能终端大多采用无线通信技术接入网络,为保障终端与无线接入点之间的传输安全,需要研发更为安全的物理层加密技术,同时在网络侧和终端处要完善终端接入、网络和终端身份认证、业务认证等安全机制,加强对为公众服务的无线接入热点的安全管理。
(4)建立移动应用安全检测与认证体系
移动应用商店是移动应用的主要发布渠道,但目前应用商店的应用安全检测能力参差不齐,有的应用商店甚至成为恶意应用传播的助推器。需要建立统一的移动应用安全标准,在移动应用商店开展应用安全检测,为移动应用研发、检测、流通等建立统一的安全认证系统,提高移动应用的安全性和可信度。
(5)加强行业协作与安全应急能力
移动互联网产业中的各方相互紧密关联,安全事件的应对处理需要多方协作,以恶意应用为例,需要应用商店、第三方安全检测机构、应用开发者、智能终端用户等的协作。为此,需要加强产业各方协作,在漏洞信息、安全事件、检测方法与能力等方面开展共享,形成行业协同整体防护和安全事件应急处理能力。
5 结束语
目前与智能终端和移动应用相关的安全事件不断增多,移动互联网上的恶意行为更加复杂,尽管如此,移动互联网与人们工作、生活的融合速度仍在加快。为提高移动互联网安全水平,不仅需要针对智能终端、移动应用等重要的移动互联网产品,加快制定安全技术标准,推动产业重视和主动提高产品安全能力,通过安全检测与认证等确保技术标准的落实;同时,还需要加强移动互联网安全相关法规的制定,推动产业各方的协作,形成安全协同防护和应急处理能力,确保移动互联网应用安全。
参考文献:
[1] Delac G, Silic M, Krolo J. Emerging Security Threats for Mobile Platforms, MIPRO 2011[C]. Opatija, Croatia: 1468-1473, 2011.
[2] Dragan P, Sinisa H, Vladimir R. Research of Security Threats in the Use of Modern Terminal Device[J]. DAAAM, 2012,23(1).
[3] Juniper Networks Inc. 2011 Mobile Threats Report[R]. 2011.
[4] Google Android. The Developer’s Guide[EB/OL]. http://developer.android.com/guide/index.html.
[5] Apple Inc. iOS Reference Library, Security Overview[EB/OL]. (2012-12-13). http://developer.apple.com/library/ios/#documentation/Security/Conceptual/Security_Overview/Introduction/Introduction.html#//apple_ref/doc/uid/TP30000976-CH201-TPXREF101.★
作者简介
袁广翔:高级工程师,现就职于工业和信息化部电信研究院,主要从事移动互联网技术、应用和安全研究,以及标准化和测试相关工作。
潘娟:硕士毕业于北京邮电大学电信通信学院,现任工信部电信研究院泰尔终端实验室信息安全部主任,主要从事移动互联网安全、业务应用、终端机卡接口、移动支付等相关技术研究、标准编写以及测试平台搭建的工作。先后负责了YD/T 2407-2013、TD/T 2408-2013、YD/T 1700-2007、终端机卡接口系列行标、业务应用相关行标的编写。发表文章三十余篇,申请专利多项。