-移动智能终端安全威胁分析与防护研究

58技术研究2012年第01期收稿时间：2011-12-15基金项目：国家自然科学基金[61103220]、中央高校基本科研业务费专项资金[6082013]、湖北省自然科学基金[2011CDB456]作者简介：彭国军（1979-），男，湖北，副教授，博士，主要研究方向：恶意代码、网络及信息系统安全等；邵玉如（1990-），男，山东，本科，主要研究方向：移动智能终端安全；郑（1989-），男，湖北，硕士研究生，主要研究方向：移动智能终端安全。彭国军，邵玉如，郑（武汉大学计算机学院，湖北武汉430072）摘　要：文章调查分析了移动智能终端的发展趋势，论述了当前移动智能终端的安全现状及远程木马控制、话费吸取、隐私窃取等典型安全威胁，重点探讨了恶意软件植入、固件植入、手工植入、捆绑植入、诱骗下载等手机恶意软件的危害和常见植入方式。文章研究了目前移动智能终端的安全防护技术、安全产品及其缺陷，并对未来移动智能终端及移动互联网安全攻防的发展趋势做出了分析与展望。关键词：智能终端；安全威胁；信息安全；隐私防护中图分类号：TP393.08文献标识码：A文章编号：1671-1122（2012）01-0058-06MobileIntelligentTerminalSecurityThreatAnalysisandProtectionResearchPENGGuo-jun,SHAOYu-ru,ZHENGYi(WuhanUniversityInstituteofComputer,WuhanHubei430072,China)Abstract:Thisarticleinvestigatesandanalyzesthedevelopmenttrendofmobileintelligentterminals,discussesthecurrentsecuritysituationandtypicalsecuritythreats,suchasremotecontrollingTrojan,illegalcharges,privacytheft,onmobileintelligentterminals.Itfocusesonavarietyofthecommonimplantingmethodsofmalware,includingfirmwareimplanting,manualimplanting,integratedimplanting,misleadingdownloads,andsoon.Besides,thisarticleresearchesthetechnologyofprivacyprotectiononmobileintelligentterminalsandsecurityprotectiontoolsandtheirdefects.Finally,forthefutureofattackanddefenseonintelligentterminalsandmobileInternet,thisarticleputsforwardsomenovelopinions.Keywords:intelligentterminals;securitythreats;informationsecurity;privacyprotectiondoi：10.3969/j.issn.1671-1122.2012.01.0160前言随着信息技术的不断发展，移动终端已成为生活工作中与人们关系昀密切的电子设备。从昀初的手机，到PDA，再到如今3G时代的智能手机、平板电脑、电子书和车载导航设备等，移动智能终端越来越普及，在形式上和功能上发生了巨大的变化：形式上越来越多样化，功能上越来越丰富，越来越智能化。工业和信息化部的数据显示，2010年全球移动终端出货量达16亿部，同比增长52%[1]。手机作为人们必不可少的通信工具，是目前移动终端市场昀重要的组成部分，销售数量呈现不断增长的趋势。虽然普通的功能型手机仍然占据着大部分低端市场，但是不可忽视的是，移动互联网时代已经到来，性能更强劲、娱乐性更好、上网速度更快、用户体验更友好的智能手机越来越受到用户的青睐。根据市场调研机构Gartner发布的昀新统计报告显示[2]，2011年一季度全球手机销售量共4.278亿部，与去年同期相比增长了19%，其中智能手机销量超过1亿部，同比增长了85%。而智能手机也因此在整体终端销售比例上达到了20%至25%。到2011年底，全球移动连接数将达到56亿，较2010年的50亿增长11%。而2011年移动数据业务收入将达到3147亿美元，较2010年的2570亿美元增长22.5%。移动智能终端安全威胁分析与防护研究59技术研究2012年第01期在如此广阔的市场前景下，国内外的众多IT企业纷纷发布了自己的软件或者硬件产品，移动智能终端领域竞争激烈。苹果公司发布了搭载IOS系统的iPhone和iPad等系列的终端设备，谷歌领衔开发的开源Android系统被大多数知名终端制造厂商所采用，微软的WindowsPhone、RIM公司的Blackberry、老牌手机厂商诺基亚的Symbain平台等都得到了广泛应用；国内企业也不甘落后，阿里巴巴公司2011年推出了阿里云手机，小米公司的MIUI和小米手机销售情况异常火爆，备受用户追捧。1移动智能终端安全现状及典型安全威胁1.1安全现状移动智能终端与人们关系密切，在生活和工作中使用频率非常高，并且有别于传统PC平台的是，大部分移动智能终端是实时在线、用户随身携带使用的，因此涉及到用户大量的隐私数据。另外，智能手机的许多功能和服务是涉及用户资费的，与用户的经济利益直接相关。还有，根据瞻博网络全球威胁监控中心（JuniperGlobalThreatCentre）昀新发布的数据显示[3]，目前移动智能终端已经被大量应用于商务领域，76%的用户使用智能手机和平板电脑获取敏感的商业情报。许多不法分子已经将视线由传统的PC平台转移到了移动智能终端上。一方面，受经济利益的驱使，不法分子大量制造并传播恶意扣费软件，给用户造成了极大的经济损失；另一方面，出于不可告人的目的，不法分子诱骗用户安装手机木马或间谍软件，在用户不知情的情况下收集用户的隐私数据，包括联系人、短信、通话录音甚至背景声音录音，地理位置信息等，严重侵犯了用户的个人隐私，甚至有可能从中窃取商业机密或政府情报。针对移动智能终端的恶意软件增长速度是非常惊人的。瞻博网络全球威胁监控中心的数据还显示，2009-2011年，针对智能手机的恶意软件数量增长了250%。Android平台作为当前市场占有率昀高的智能终端操作系统（截止2011年11月已达到43%），恶意软件增长更是达到了惊人的472%。近日，移动安全服务企业-北京网秦天下科技有限公司发布的《2011年第三季度全球Android手机安全报告》数据也显示，2011年第三季度查杀到的Android手机恶意软件及其变种达到2703款，其中新增恶意软件1492款，直接感染手机216万部。受影响的区域方面，中国大陆以超过47.3%的感染比例位居首位（国内北京市位居首位），北美加利福尼亚州安全形势严峻，欧洲监测数据显示，英国Android恶意软件呈泛滥趋势。在感染对象方面，部分移动智能终端恶意软件已经具备了同时感染用户的智能手机及平板电脑的能力。例如，2011年8月18日，名为“GingerMaster”的Android恶意软件被发现，该款软件可以同时感染用户手机及平板电脑。可见，目前移动智能终端领域的安全问题日益严重，用户的隐私和财产安全、企业商业机密和政府情报等受到了严重的威胁。1.2移动智能终端的典型恶意软件及其安全威胁恶意软件是目前移动智能终端上被不法分子利用昀多、对用户造成危害和损失昀大的安全威胁类型。智能终端操作系统的多任务特性，为恶意软件在后台运行提供了条件，而用户对恶意软件的运行毫不知情。数据显示[4]，目前Android平台恶意软件主要有四种类型：远程控制木马、话费吸取类、隐私窃取类和系统破坏类，其具体比例如图1所示。图1Android平台各类恶意软件比例1.2.1远程控制木马远程控制木马可以接收攻击者远程发送的各种指令，进而触发恶意行为。与其他恶意软件在威胁方式上有较大不同，其威胁是动态的、可变的，恶意行为的类型根据攻击者下达的具体指令的不同而改变，因此使用户层面临着多个层次的安全威胁。远程控制木马的控制方式和工作原理如图2所示。图2远程控制木马工作原理1）隐私窃取。根据攻击者的指令，木马可以搜集用户的短信内容、联系人、通话记录、手机IMEI码、当前位置坐标等数据上传到指定的服务器上。有些木马接收到指令后，甚至可以进行通话录音和背景声音录音，从而达到通话监听和背景声音监听的目的。2）吸费扣费。很多远程控制木马同样具有话费吸取的功能，攻击者在指令中给出增值业务号码，控制手机发送短信进行定制。与一般话费吸取软件不同的是，增值业务号码是可以根据攻击者指令更换的。3）恶意推广。远程控制木马能够接收攻击者的指令，连接到指定的下载服务器，下载恶意推广的软件、广告图片等，还能自动启动浏览60技术研究2012年第01期器访问特定的恶意推广网站。4）更新和下载其他恶意软件。为了避免安全防护软件的查杀，攻击者可以控制木马连接到更新服务器进行更新。还可以下载更多种类和数量的其他恶意软件，进而对用户造成更加严重的危害。攻击者对木马的远程控制主要有两种方式：基于短信的控制和基于网络的控制。基于短信的控制是攻击者向安装有远程控制木马的手机发送含有特殊指令的短信，木马接收后进行解析并执行。基于网络的控制是木马通过与控制服务器进行网络通信获取指令并解析执行。基于网络可以进行批量监控和指令下达，因此被绝大多数的远程控制木马所采用，另外也有少数木马采用了两种方式结合的方法。“Geinimi”是一款功能全面的典型的Android远程控制木马。根据国外权威移动安全公司Lookout发布的分析报告[6]，“Geinimi”能够根据指令，实现读取手机短信发送到远程服务器，发送删除短信，后台拨打电话，后台下载文件，打开系统浏览器访问指定URL等恶意功能。而且，命令和数据在传输过程中使用DES算法和指定密钥进行了加密。1.2.2话费吸取软件话费吸取软件定时在系统后台发送短信到增值业务服务提供商，大量定制增值业务，或自动拨打指定增值业务号码，并且能自动拦截相关业务定制后的确认短信和运营商的资费提醒短信，暗地里“吸取”用户的资费。“安卓老虎机”是一款疯狂吸费的Android恶意软件，分析表明[5]，该恶意软件以10秒一次的高频率触发恶意扣费行为，自动删除短信发送记录及运营商的确认短信，完全剥夺了用户对手机资费的知情权，用户几乎不可能在第一时间得知自己已被扣费。1.2.3隐私窃取有一些恶意软件能实现窃听功能，监听用户的通话录音和背景环境声音，并给攻击者留下后门，使手机沦为黑客的“肉鸡”。“金雕”（Android.Hack.GoldenEge）是一款功能全面，设计精巧的Android后门病毒[7]。“金雕”后门安装到Android手机之后，不会留下任何图标。后门会实现自动启动，受窃听者短信指挥实现监听短信内容和通话记录的功能。当监听到手机通话时，病毒会启动录音服务进行录音，通话结束后停止录音。然后“金雕”病毒自带的邮件引擎再将录音文件发送到窃听者邮箱。还有一些移动智能终端上的远程监控软件，虽然开发的昀初目的和设计用途并不一定是恶意的，但是一旦被不法分子作为间谍软件非法利用，也将会对用户隐私、企业和政府机密带来严重威胁。“Kidlogger”[8]是国外一款用于家长控制孩子上网的产品，并推出了Android平台的版本，能够记录几乎所有的手机操作。除了短信、电话和联系人等常规信息，甚至可以记录剪贴板数据、Wi-Fi和USB连接记录、键盘按键记录等，根据监控者的设置，定时上传到服务器上，监控者可以登录到服务器上进行查看。1.2.4系统破坏绝大多数系统破坏类恶意软件都会非法获取系统的昀高权限，即Ro