11年写的一篇文章----智能终端安全现状及前景展望

1、土壤已经具备

随着移动通信技术的发展，移动终端发生了巨大的变化，朝着智能化的方向不断迈进。研究机构Gartner称，2011年第一季度手机销量共计4.278亿部，较上年同期增长19%，其中智能手机销量所占比例为23.6%。该机构称，2011年第一季度智能手机销量较上年同期增长85%。与此同时，移动通信网络也在不断演进，从1G、2G、3G到LTE，另外就是大量WiFi热点的部署以及终端开始普遍支持WiFi，业务带宽瓶颈逐渐缓解。

伴随着终端智能化及网络宽带化的趋势，移动互联网业务层出不穷，日益繁荣。但与此同时，移动终端越来越多的涉及商业秘密和个人隐私等敏感信息。移动终端也面临各种安全威胁，如恶意订购、自动拨打声讯台、自动联网等，造成用户的话费损失；木马软件可以控制用户的移动终端，盗取账户、监听通话、发送本地信息等。移动终端作为移动互联网时代最主要的载体，面临着严峻的安全挑战。

2.恶意软件现状

2.1恶意软件主要危害

l经济类危害：盗打电话（如悄悄拨打声讯电话），恶意订购SP业务，群发彩信等。

l信用类危害：通过发送恶意信息、不良信息、信息给他人等。

l信息类危害：个人隐私信息丢失、泄露。如通讯录、本地文件、短信、通话记录、上网记录、位置信息、日程安排、各种网络账号、银行账号和密码等。

l设备类危害：移动终端死机、运行慢、功能失效、通讯录被破坏、删除重要文件、格式化系统、频繁自动重启等。

l对网络危害：大量恶意软件程序发起拒绝服务攻击占用移动网络资源等。如果恶意软件感染移动终端后，强制移动终端不断地向所在通信网络发送垃圾信息，这样势必导致通信网络信息堵塞。

2.2 恶意软件传播手段

目前恶意软件的传播方式主要有5种：

（1）网络下载传播：是目前最主要的传播方式。

（2）蓝牙（Bluetooth）传播：蓝牙也是恶意软件的主要传播手段，如恶意软件Carbir。

（3）USB传播：部分智能移动终端支持USB接口，用于PC与移动终端间的数据共享。可以通过这种途径入侵移动终端。

（4）闪存卡传播：闪存卡可以被用来传播恶意软件；闪存卡还可以释放PC恶意软件，进而感染用户的个人计算机，如CardTrap。

（5）彩信（MMS）传播：恶意软件可以通过彩信附件形式进行传播，如Commwarrior。

2.3 典型恶意软件分析

恶意软件很多，举两个有代表性的例子。

（1）隐私窃取软件“给你米”（Geinimi）

“给你米”（geinimi）后门程序通过植入到 “植物大战僵尸”等多款流行手机游戏软件中，生成新的软件安装包后在手机论坛、手机软件下载站进行线上分发。感染用户手机后，“给你米”（geinimi）后门程序会自动在手机后台启动，推广各类恶意广告短信，在用户不知情的情况下，自动下载各类恶意推广软件。

图1是正常软件申请的权限信息。

图1 正常软件申请的权限信息

恶意软件制作者通过修改大量的流行软件，在其中植入了恶意特征。图2是在正常软件中植入 “给你米”（geinimi）程序的权限信息，可以看出增加了大量的权限信息，用来获取系统敏感信息。

图2 “给你米”（geinimi）程序的权限信息

（2）X卧底

该软件由泰国的Vervata公司开发，引进中国后改名“X卧底”。该软件能够监听话音、发送本地信息。其原理如图3所示。

图3 X卧底原理图

X卧底的功能和危害如下：

l泄露个人隐私

n个人隐私数据都被发送到第三方服务器上；

l终端变成

n非法电话，当设定号码呼入时，自动接通，“X卧底”导致移动终端既不会响铃也不会振动，拨打者可对移动终端周围的声音非法。当被非法移动终端有键盘动作时，自动挂断电话；非法过程中，其他电话呼入会提示当前用户忙。

3、智能终端平台安全差异性较大

目前的主要操作系统平台有Android、iPhone、Windows Phone7。虽然恶意软件在各个平台都存在，但由于各个平台的安全机制差异甚大。其结果是，不同厂商的智能终端面临的安全风险截然不同。甚至同样的操作系统，由于不同OEM对其安全加固程度不同，也呈现出不同的安全特性。

（1） Windows Phone 7平台

Windows Phone 7没有继承WindowsMobile的开放性，反而学习了iPhone的封闭性。在Windows Phone 7中，应用程序商店Marketplace将会是WindowsPhone 7移动终端安装应用程序的唯一方式，不支持通过其他方式来安装程序包。这将在一定程度上杜绝盗版软件，吸引开发者。

Windows Phone 7的应用程序模型目前主要支持第三方应用在前台执行，不完全支持后台应用，这样能够在一定程度降低系统风险（但第三方怎么拦截垃圾短信？）。从API开发层面来说，Windows Phone 7缺省没有读取通话记录、短信等的API，保护了用户的隐私。

另外发短信、打电话也需要用户确认，防止了恶意扣费。WindowsPhone 7没有提供直接操作这些（SMS、Phone、E-mail、Camera）的API。但是这并不等于不能做，在Windows Phone 7中可以通过Task来调用系统的任务（就好比用户手动操作，因此需要用户按键确认）来完成。也就是说，要打开系统的相关应用才能拨打电话、发送短信、保存联系人、拍照等。

举个发短信的例子，代码如下：

1. using Microsoft.Phone.Tasks;

2. SmsComposeTask sms = new SmsComposeTask();

3. sms.To = "0123456789";

4. sms.Body = "Someprefilledtext...";

5. sms.Show( );

执行效果如图4所示，只是弹出系统的短信框（即通过Task调用系统的短信应用），并不能直接发短信，而是需要用户的介入（点击发送）。

图4 WP7发短信

（2） iPhone平台

iPhone从一开始就是完全封闭的，封闭有利有弊，对安全却是有好处的。比如，iPhone缺省没有读取通话记录、短信等的API，这保护了用户的隐私；调用显示用户位置信息的API也会弹出提示信息。另外，iPhone也不允许使用API直接发短信和打电话，都需要用户确认，这样间接减少了恶意订购和恶意话费的风险。

（3） Android平台

iPhone等平台不提供程序直接发短信等功能的接口，避免了恶意订购等行为的发生。Android则把决定权交给了用户，由用户决定一个程序是否可以直接发短信。Android要求开发者在使用API时进行申明，称为permission。这样对一些敏感API的使用在安装时就可以给用户风险提示，由用户确定是否安装。

例如，要监控是否有短信到达，需要在Android Manifest文件中进行如下设置：

<manifest xmlns:android=http://schemas.android.com/apk/res/android

package="com.google.android.app.myapp" >

<uses-permission android:name="android.permission.RECEIVE_SMS"/>

</manifest>

但让用户承担这个决策责任目前看来风险很大。用户下载和安装软件时心情很紧迫，哪顾得上弹出来什么信息，通常都是直接点确定!而且，仅靠这些permission信息确定软件是否是恶意的，也没有太多依据。

Android平台是开放的，有好处也会有弊端。好处就是开发者自签名就可以完成软件的发布，用户也无需一定到电子商城下载软件，很多论坛都可以下载软件。对应的弊端就是这些软件没有经过审核，可能会隐藏风险！

4、越狱（破解）到底为了啥

首先可以肯定一点，越狱了啥都可以做，开发者可以做任何事，比如iPhone就可以直接程序发送短信。相对应的就是恶意软件也可以干任何事情。

Windows Phone7和iPhone的越狱目的很清楚，这两个平台接管了软件入口，不允许用户安装其它来源软件；另外就是部分用户排斥到商店买软件！比如有一款软件ChevronWP7就可以破解Windows Phone 7，允许用户不从应用商店下载软件而直接安装。如图7所示。

图7 ChevronWP7破解

iPhone系统通过JailbreakMe 2.0就可以完成越狱，主要是利用PDF中FlateDecode字体的漏洞实现的。用户只需要输http://www.jailbreakme.com/，根据向导即可完成设备破解，如图8所示。

图8 JailbreakMe越狱图9 EasyRoot破解

Android系统由于是开放平台，无论是开发者还是用户都没有破解的诉求。获取Root权限（也即破解）主要是一些玩家和黑客。Android系统是基于Linux内核构建的，因此Root就是移动终端的神经中枢，它可以访问和修改移动终端几乎所有的文件。类比于Administrator是Windows系统中的超级管理员用户，拥有最高的权限。所以很多黑客在入侵系统时，都想把权限提升到Root。

现在已经有不少软件直接安装即可获取Root权限。比如由Unstable Apps公司开发的破解程序EasyRoot（如图9所示），用户只需单击一下该程序的按钮，即可获得移动终端的Root权限。

5、老革命遇到新问题

PC平台的主流系统是Windows，以开放为主，功能非常强大。恶意软件可以任意获取管理员权限执行，可以进行各类恶意行为，如窃取口令、静默安装等。

但现在手机系统如iPhone、Android很难进行键盘监控、模拟等危险操作，除非写一个输入法。当然，前提是系统不能被越狱。

因此，产生了一些矛盾，Android等系统的设计者认为手机在不越狱的情况下风险没有那么大！因而没考虑到手机上需要部署杀毒软件！因此，没有考虑到需要给杀毒软件提供哪些接口。纵观Windows的发展史也是如此！

比如现在Android等系统的安全软件就无法实现下列的功能：

1)无法网络监控------恶意软件联网时无法提醒（无法主动监控）；

2) 无法实时监控-------只能软件安装完毕以后获取通知消息，无法安装前检测；

3) 无法杀毒-------对恶意软件无法查杀，只能弹出卸载框，由用户卸载，无法直接清理。

现在有些恶意软件已经越过了设计者的假设（恶意软件获取不了Root），很多恶意软件不光干坏事，而且迅速占领了制高点，利用漏洞获取Root权限，结果是用户不能卸载恶意软件，杀毒软件也无从下手。不少安全厂商给出的解决方案是让用户先越狱手机，然后杀毒。这样的风险会更大！

我们了解一下最近一个木马利用漏洞Root后的情况：

1. gainroot privileges through root exploit in older platform releases利用漏洞获取Root；

2. remount/system read-write system目录本来是只读的，通过remount让其可写；

这个目录通常也预制一些系统自带的程序，写到这个目录杀毒软件无法清除；

3. installa new APK into /system/app/把恶意软件安装到系统目录。

6、移动终端安全公司做什么？

目前做移动终端安全公司的产品主要围绕着隐私保护、杀毒、反骚扰、防扣费等功能展开。移动终端安全公司的产品主要功能如图10所示。

功能	描述
Personal Firewall、Incoming Call Filter、SMS Antispam	可以过滤垃圾短信、过滤来电以及IP数据包
VPN	支持L2TP/PPTP VPN、SSLVPN、IPSEC VPN
抗病毒	杀毒
防盗	通讯录取回功能、隐私信息远程删除功能、远程控制功能
WAP Push过滤	WAP URL过滤，对通过WAP Push下发的 URL进行过滤，防止用户下载恶意URL链接。
文件加密	本地文件加密
系统清理，漏洞修复	清理垃圾信息，修复系统和应用软件漏洞
响一声电话提醒	防止用户回拨，恶意扣费
进程拦截、流量监控	进程启动联网时提示，防止进程悄悄联网等行为。对上网流量进行统计、告警
家长控制	控制移动终端行为如上网网址，用于家长控制小孩安全使用移动终端，防止访问不健康的信息
端口控制（Port Control）	严格统一管理这些外设，设置其启用或禁用。通过外设安全防护机制，可以实现对FireWire、Wireless LAN、Bluetooth、SD卡等外设的控制
增强认证机制	指纹认证等手段，防止移动终端丢失导致信息泄露

图10移动终端安全公司的产品主要功能

终端安全公司正在量力而行，根据系统给于他们的能力最大化安全措施！部分厂商也推出更强大的越狱版产品！

7、移动终端安全发展趋势和解决思路

1)发展趋势

移动终端恶意软件的行为分为下列几类：

（1）联网、发短信（恶意订购）。

（2）获取本地信息：如通讯录、通话记录、短信内容、本地文件、地理位置等信息。

（3）窃取账户：盗号软件。

（4）消耗资源类：如不断地寻找蓝牙设备去传播恶意软件。

（5）破坏类：删除本地文件、通讯录、恢复出厂设置。如破坏SD卡上安装的应用程序，导致应用无法启动。

（6）卸载安全软件、自启动、难删除、隐藏。

从长期来看，（4）、（5）两项会逐渐消亡，毕竟是损人不利己的事情，以前很多人出于恶作剧才做了这样的恶意软件。以后最主要的移动终端恶意软件就是（1）、（2）、（3）三项。那么（6）就是移动终端恶意软件制作者和杀毒厂商的战线，他们需要提高各自的战斗力，相互博弈，防止被对方消灭。这也是杀毒厂商的主要的工作之一。

2)解决思路

智能终端面临的风险和PC非常类似，主要的不同就是恶意订购。针对恶意订购，运营商建立了SP黑名单监控管理制度。对于违规操作的SP进行记录备案，加大监控力度，从根源进行遏制。电信运营商已经进行了多次的大力整顿，效果明显。另外一个有效的方法就是增加订购验证机制，订购时可以给用户返回认证码。

关于其他风险的解决思路，手机解决思路和PC的解决思路也非常类似。那就是杀毒软件作为为辅助，敏感的业务如支付业务需要构建自身的安全机制。比如在PC平台，各商业银行和腾讯、盛大、支付宝等机构，为了应对各种键盘窃取和信息篡改的手段，纷纷提出了保障方案，主要包括USB Key、动态口令卡、安全控件、动态软键盘等。同样的思路可以复制到手机上，目前针对手机安全支付市场上已有一些产品，如动态口令卡以及安全SD卡等。如图11为智能SD卡的架构。

图11 SD卡架构

智能SD卡不同于我们常见的SD存储卡，除了携带Flash用于存储功能外，还带有一个智能卡芯片，可以完成数字签名等操作。

8、开发者最需要什么？赚钱！

还有一类特殊的用户—开发者，他们也关注终端风险，但他们更关注他们的应用能否赚钱。电子市场尤其是Apple App Store的成功，极大的刺激了开发者的热情。但如果软件可以被复制，比如软件被复制到另一个终端直接使用（比如一个人购买，亿万人免费使用），则可能损害开发者的利益，影响电子市场的繁荣。

苹果在这个问题可谓是绞尽脑汁，iPhone上的软件都是通过App Store安装的，无法直接看到安装文件，或者通过越狱后看到安装文件，这些安装文件也是被DRM保护的。但依然没有防住破解者，软件Peodcrack就可以用来分享花钱买的正版软件，该软件可以把从AppStore下载的软件打包到本地进行传播。

Android系统也在不断进步，如Android的版权保护技术Licensing Your Applications。

图12是版权保护服务的示意图，第三方App可以在应用内部调用Google提供的LVL（License Verify Library，许可验证库），LVL运行于第三方App的进程中，它负责跟本地Market App（Google提供的认证客户端，用户只需安装到手机即可）进行IPC（进程间通信），而Market App负责跟远端的 Market License Server进行网络通信，查询认证信息，然后返回给LVL。最后第三方App里的Activity可以获得认证的结果并自行决定应对措施，比如验证不通过则限制功能、直接退出等。可以根据应用的类型、面向的用户等来自行决定。当然，借助于Market License Server，还可以实现更细致的策略，如允许应用免费使用几次等。

图12 Android版权保护架构

版权保护的原理很简单，就是下载应用时Google MarketLicense Server保存你下载的应用ID和设备ID，然后下载安装以后每次应用启动时会通过和Market LicenseServer交互从而确认你的应用是否合法。交互的内容依然是应用 ID和设备ID，Google Market License Server会校验你的应用 ID和设备ID，看该设备是不是注册使用该APP，如果非法复制软件到其他设备，由于应用 ID和设备ID不匹配，认证会失败。

目前该版权保护机制依然很脆弱，脆弱到依然可以被轻松破解。只要用一个叫做baksmali的程序将APK文件解包，把里面的授权验证库给移除掉，再重新打包成APK文件就完成了破解。因为APK文件里的授权验证库是独立的一个部分，所以很容易分离出来，完成破解。

另外Android系统的软件是基于Java的，我们知道Java是一种解析型语言，这就决定了Java文件编译后不是机器码，而是一个字节码文件，也就是CLASS文件。而这样的文件是存在规律的，经过反编译工具是可以还原回来的。Android把Class文件编译成Dex文件格式，而Class文件的保护一直为人所诟病，使用Class反编译工具，可以看到90%以上的源代码。即使有各种各样的混淆工具，但混淆的也是变量，程序逻辑、API依然清晰可见。Dex也是一样，逃脱不了被反编译的命运。Google建议收费应用程序使用混淆器如ProGuard做代码混淆，避免被人直接破解程序。

如果开发者的程序直接被反编译获取了源代码，其利益也会严重受损。

9、智能终端安全和行业应用的结合

智能终端作为行业终端，承载行业应用，也是大势所趋。可以通过搭建一个终端安全的统一管理平台，给终端按需、适度配置各类安全措施，提供统一的安全策略，最大程度确保企业终端的安全。统一管理平台的功能主要包括（如图13所示）。

l远程管理：终端固件、软件、配置更新以及信息采集。软件的远程下发、安装、卸载以及更新；统一配置终端的安全策略，实现集中的安全策略配置管理；查看系统信息、状态报告等。

l失窃密防护：“重在防外”，通过本地数据加密、远程数据销毁等手段确保信息安全。

l统一认证：为终端应用提供统一的认证入口。

l信息备份：提供通讯录、数据等的远程备份、恢复。

l端端保护：提供端对端的数据加密。

l系统安全：提供防火墙、防恶意软件、杀毒、VPN、端口控制等手段。

图13 终端安全统一管理平台组成

终端安全统一管理平台架构如图14所示。服务侧负责策略配置，信息下发；终端安装VPN等模块的Agent，完成具体的功能。

国外运营商如AT&T已经为其企业客户提供类似的终端安全统一管理平台。企业管理人员登录到管理平台之后，可以看到自己企业管理的所有手机，选择想要管理的手机，点击“管理手机”按钮，就可对手机进行“删除短信”、“删除联系人”、“删除通讯记录”、“重启手机”等操作。如某员工离职后，企业就能即时删除其手机上的所有信息，以保证企业客户数据的安全，该员工归还的手机把信息清空后，仍可被下一名新员工使用。假如某员工手机被盗，不法分子常常会将旧卡丢弃，并换入新卡销赃。此时手机端软件会自动发送信息给后端管理平台，管理人员可以立即删除手机内的所有信息。

图14 终端安全统