劉苑明（中國(guó)移動(dòng)通信集團(tuán)廣東有限公司中山分公司，中山 528400）

?

淺析移動(dòng)終端的安全風(fēng)險(xiǎn)及防護(hù)建議

劉苑明
（中國(guó)移動(dòng)通信集團(tuán)廣東有限公司中山分公司，中山 528400）

摘要隨著智能終端和移動(dòng)通信技術(shù)的飛速發(fā)展，購(gòu)物、支付、理財(cái)產(chǎn)品等金融業(yè)務(wù)層出不窮，移動(dòng)終端的安全性成為了安全攻擊的目標(biāo)也是社會(huì)熱點(diǎn)問(wèn)題。本文對(duì)移動(dòng)終端進(jìn)行了風(fēng)險(xiǎn)分析，輔以使用Kali Linux系統(tǒng)攻擊同一個(gè)Wi-Fi局域網(wǎng)內(nèi)的安卓手機(jī)作為案例加以說(shuō)明，并提出了安全防護(hù)建議。

關(guān)鍵詞智能終端；安全風(fēng)險(xiǎn)；滲透入侵；安全防護(hù)建議

1　移動(dòng)終端的安全風(fēng)險(xiǎn)分析

根據(jù)i R esearch艾瑞咨詢的統(tǒng)計(jì)數(shù)據(jù)顯示，2012年中國(guó)第三方支付行業(yè)移動(dòng)支付業(yè)務(wù)交易規(guī)模達(dá)1511.4億元，同比增長(zhǎng)89.2%。2013年第三方移動(dòng)支付市場(chǎng)交易突破萬(wàn)億，規(guī)模達(dá)12 197.4億，同比增速707.0%。2014前兩個(gè)季度的中國(guó)第三方移動(dòng)支付市場(chǎng)交易規(guī)模已增至29 163.4億元。由數(shù)據(jù)顯示，移動(dòng)第三方支付規(guī)模呈快速增長(zhǎng)趨勢(shì)。然而，人們?cè)谙硎芤苿?dòng)網(wǎng)絡(luò)帶來(lái)的巨大便利的同時(shí)，卻忽略了一個(gè)嚴(yán)重的問(wèn)題，信息安全威脅隨著移動(dòng)網(wǎng)絡(luò)參與度的提升而增加。目前對(duì)用戶信息安全造成的威脅主要有以下幾點(diǎn)。

1.1移動(dòng)終端操作系統(tǒng)安全隱患

目前的智能手機(jī)操作系統(tǒng)主要有Android、iOS、BlackBerryOS、WindowsMobile、Linux等。其中Android和iOS兩大系統(tǒng)的智能手機(jī)市場(chǎng)占有率則逼近100%，達(dá)到了91.1%。市場(chǎng)占有率居前三的系統(tǒng)全部為外國(guó)研制，被國(guó)外所壟斷，其所有公司對(duì)于用戶信息安全的保護(hù)又缺乏監(jiān)管。2013年6月前中情局(CIA)職員愛(ài)德華?斯諾登曝光美國(guó)國(guó)家安全局的“棱鏡”項(xiàng)目，將包括谷歌微軟在內(nèi)的互聯(lián)網(wǎng)公司推上了風(fēng)口浪尖，讓我們對(duì)于智能手機(jī)操作系統(tǒng)的安全性產(chǎn)生了質(zhì)疑，操作系統(tǒng)公司是否對(duì)用戶的信息進(jìn)行監(jiān)聽(tīng)，是否有以盜用客戶信息安全牟利的行為發(fā)生。此外，由于除蘋果以外的智能手機(jī)的操作系統(tǒng)是開(kāi)放式的，手機(jī)的源代碼是對(duì)外開(kāi)放的，如開(kāi)放源代碼的Android操作系統(tǒng)，程序人員可以通過(guò)逆向工程對(duì)系統(tǒng)進(jìn)行深度的分析，進(jìn)而發(fā)現(xiàn)潛在的漏洞。而且Android系統(tǒng)采取免費(fèi)、開(kāi)源的市場(chǎng)策略，給病毒的制造者提供了方便。很多網(wǎng)站、論壇都有免費(fèi)的源代碼共享，有一定編程基礎(chǔ)的編程學(xué)習(xí)者拿到這樣的源碼之后，就可以簡(jiǎn)單地制作出病毒，缺乏相應(yīng)的安全保障。

1.2移動(dòng)終端軟件安全隱患

惡意軟件是故意在計(jì)算機(jī)系統(tǒng)上執(zhí)行惡意任務(wù)的病毒、蠕蟲和特魯伊木馬的總稱，在PC電腦中已經(jīng)存在了很多年，也有相對(duì)比較完善的殺毒軟件和漏洞掃描軟件做保護(hù)。隨著智能手機(jī)的巨大市場(chǎng)被開(kāi)發(fā)，大量開(kāi)發(fā)者轉(zhuǎn)為開(kāi)發(fā)手機(jī)APP。在巨大的利益驅(qū)使下，智能手機(jī)和APP就成了惡意軟件和黑客的攻擊目標(biāo)。信息竊取型惡意軟件會(huì)暗中竊取用戶的照片、短信通信錄等信息進(jìn)行倒賣從而牟利；通信吸費(fèi)型惡意軟件會(huì)把惡意扣費(fèi)代碼嵌入進(jìn)APP中使用戶不知不覺(jué)中產(chǎn)生了資費(fèi)，從而牟利。2015年8月14日百度手機(jī)衛(wèi)士發(fā)布了《2015年上半年中國(guó)互聯(lián)網(wǎng)移動(dòng)安全報(bào)告》，報(bào)告以百度大數(shù)據(jù)為基礎(chǔ)，針對(duì)手機(jī)病毒、盜版應(yīng)用、垃圾短信、騷擾電話、移動(dòng)支付、應(yīng)用漏洞6大移動(dòng)安全問(wèn)題做了系統(tǒng)專業(yè)的調(diào)研和分析。報(bào)告顯示，2015年上半年手機(jī)病毒出現(xiàn)爆發(fā)式增長(zhǎng)，病毒軟件新增數(shù)量達(dá)到127.31萬(wàn)個(gè)，環(huán)比增長(zhǎng)240%。新增病毒類型以惡意扣費(fèi)、隱私竊取、資費(fèi)消耗、流氓行為4類為主，其中惡意扣費(fèi)類病毒占比超過(guò)43.1%。由于安卓系統(tǒng)底層技術(shù)平臺(tái)是開(kāi)放的，盜版應(yīng)用便如雨后春筍般的冒出，這些盜版應(yīng)用會(huì)造成流量消耗、隱私泄露、惡意扣費(fèi)、遠(yuǎn)程控制、購(gòu)物欺詐等危害。

1.3移動(dòng)終端支付安全風(fēng)險(xiǎn)

移動(dòng)支付安全的風(fēng)險(xiǎn)主要來(lái)自惡意山寨應(yīng)用、不明Wi-Fi網(wǎng)絡(luò)環(huán)境、支付應(yīng)用自身漏洞、驗(yàn)證短信不安全4大方面。

目前的移動(dòng)終端支付從場(chǎng)景上主要有遠(yuǎn)程支付和近場(chǎng)支付兩種，遠(yuǎn)程支付指的是消費(fèi)者通過(guò)移動(dòng)終端(手機(jī)、平板等設(shè)備)及移動(dòng)支付設(shè)備(包括刷卡器、金融SD卡以及快捷支付如支付寶等)發(fā)起的支付，主要通過(guò)短信、WAP和手機(jī)客戶端；近場(chǎng)支付是指消費(fèi)者先將金融錢包下發(fā)到自己的移動(dòng)終端上，用終端作為載體在近場(chǎng)支付的POS機(jī)上完成的支付。目前支付手段的安全隱患是加密問(wèn)題和即時(shí)性問(wèn)題。雖然WAP功能的手機(jī)支付時(shí)，能夠采用移動(dòng)網(wǎng)絡(luò)的加密技術(shù)，相對(duì)而言，并不能很有效地保證安全，如果引入短信動(dòng)態(tài)密碼的方式，采用銀行卡與手極號(hào)綁定模式，受手機(jī)卡技術(shù)的限制，所發(fā)送的信息為明碼，短消息通過(guò)公網(wǎng)傳輸，沒(méi)有加密功能。如果引入軟件令牌形式的動(dòng)態(tài)密碼具有生命周期，在傳輸線路上存在被截獲的可能。

1.4移動(dòng)終端丟失安全隱患

目前，手機(jī)的普及率非常高，但是日常生活中經(jīng)常出現(xiàn)頻繁丟失的情況，為此造成的信息泄露屢見(jiàn)不鮮，照片、通信錄、都有可能被落入他人手中，個(gè)人隱私受到了極大的威脅。隨著移動(dòng)終端功能的不斷發(fā)展，智能手機(jī)上的電商軟件越來(lái)越多，其中不少軟件都提供手機(jī)綁定，記住密碼，甚至有些軟件和網(wǎng)站提供手機(jī)修改密碼，這給了不法分子可乘之機(jī)，給人們的財(cái)產(chǎn)安全造成了極大的威脅。

1.5免費(fèi)Wi-Fi熱點(diǎn)帶來(lái)的安全隱患

目前對(duì)于普通用戶而言，網(wǎng)絡(luò)信息安全還表現(xiàn)在公共無(wú)線網(wǎng)絡(luò)的安全威脅。自2004年起，Wi-Fi開(kāi)始廣泛應(yīng)用在機(jī)場(chǎng)、商場(chǎng)、酒店、學(xué)校等公共場(chǎng)所，這給人們上網(wǎng)帶來(lái)了極大的便利，當(dāng)人們身處這些公共場(chǎng)所時(shí)，打開(kāi)手機(jī)自然會(huì)搜到這種免費(fèi)的Wi-Fi信號(hào)。同樣，在進(jìn)行移動(dòng)支付時(shí)，在付費(fèi)的數(shù)據(jù)流量和免費(fèi)又快捷的Wi-Fi之間選擇，人們通常會(huì)選擇后者。然而，Wi-Fi可以自設(shè)名稱等特征，給黑客留下了可乘之機(jī)。而一般用戶在支付過(guò)程中涉及到的支付賬號(hào)和密碼、購(gòu)買物品的相關(guān)信息，當(dāng)這些信息泄露出去，后果不堪設(shè)想。

2　案例：網(wǎng)絡(luò)滲透入侵Wi-Fi局域網(wǎng)內(nèi)的安卓手機(jī)

2.1入侵前準(zhǔn)備

本次案例使用kali Linux系統(tǒng)里面自帶的工具，入侵同一Wi-Fi局域網(wǎng)中的安卓手機(jī)。

第一步進(jìn)入Wi-Fi網(wǎng)絡(luò)進(jìn)行目標(biāo)的收集。暴力破解Wi-Fi密碼只要使用fern Wi-Fi Cracker工具可以圖形化界面直接破解密碼進(jìn)入Wi-Fi網(wǎng)絡(luò)，如圖1為軟件截圖。

2.2目標(biāo)范圍規(guī)定和信息收集

圖1　fern WIFI Cracker軟件樣例圖

進(jìn)入Wi-Fi網(wǎng)絡(luò)之后，用軟件Armitage對(duì)網(wǎng)絡(luò)進(jìn)行嗅探，確定本局域網(wǎng)內(nèi)可以到達(dá)的設(shè)備。

如圖2中，可以看到局域網(wǎng)內(nèi)可以找到4臺(tái)相關(guān)設(shè)備，一臺(tái)蘋果手機(jī)，一臺(tái)安卓手機(jī)，一臺(tái)Linux電腦，一臺(tái)Win7電腦。

圖2　Armitage嗅探樣例圖

通過(guò)Armitage對(duì)每臺(tái)設(shè)備進(jìn)行詳細(xì)的掃描，確定是否能夠存在漏洞。由于實(shí)驗(yàn)需要，專門找了臺(tái)舊的三星9100為目標(biāo)，其系統(tǒng)為安卓手機(jī)。

2.3滲透入侵

使用Metasploit使用后門進(jìn)行滲透，生成apk木馬文件。開(kāi)始入侵；同時(shí)將apk文件發(fā)送到目標(biāo)主機(jī)安裝并運(yùn)行，從如圖3上面的系統(tǒng)運(yùn)行界面可以看到滲透已經(jīng)成功，能夠獲取目標(biāo)手機(jī)的操作系統(tǒng)信息。

圖3　入侵案例圖

2.4持續(xù)控制

在對(duì)手機(jī)進(jìn)行滲透入侵后，可以直接查看現(xiàn)在能夠進(jìn)行的操作，從操作選項(xiàng)中就可以看到，入侵者能夠?qū)κ謾C(jī)的系統(tǒng)、通話記錄、通信錄、攝像頭等進(jìn)行控制。

由上述案例可以非常清晰的看到免費(fèi)Wi-Fi中的潛在安全風(fēng)險(xiǎn)，任何使用免費(fèi)Wi-Fi的人員都應(yīng)該對(duì)其安全風(fēng)險(xiǎn)有所了解。

3　智能終端使用的安全保護(hù)措施建議

作為消費(fèi)者，在使用智能終端時(shí)，要有信息安全防范的意識(shí)，要注重增強(qiáng)安全意識(shí)，自覺(jué)防范電子商務(wù)風(fēng)險(xiǎn)。

3.1盡量選用具有自主操作系統(tǒng)、安全芯片等智能終端

從2013年國(guó)家提出智能終端信息安全研究開(kāi)始，國(guó)家項(xiàng)目一直加大對(duì)國(guó)內(nèi)操作系統(tǒng)和安全芯片的開(kāi)發(fā)，截止至2015年11月華為公司和中興公司都基于安卓底層開(kāi)放了自有的操作系統(tǒng)，其內(nèi)核已經(jīng)與基本安卓系統(tǒng)區(qū)別較大，減少了國(guó)內(nèi)智能終端對(duì)國(guó)外操作系統(tǒng)的依賴程度。

另外一方面，華為、中興、聯(lián)想等國(guó)內(nèi)手機(jī)巨頭加大了與國(guó)家合作的智能終端安全硬件芯片的研究，對(duì)于移動(dòng)智能終端的軟硬件技術(shù)、安全技術(shù)、系統(tǒng)軟件和應(yīng)用軟件安全漏洞后門分析及處置技術(shù)等都有了長(zhǎng)足的進(jìn)步。

消費(fèi)者在進(jìn)行智能終端的選擇時(shí)，建議盡量選用具有自主操作系統(tǒng)或安全芯片等技術(shù)的智能終端。

3.2下載軟件要選擇官方正規(guī)的渠道

智能手機(jī)的開(kāi)源性較強(qiáng)，軟件非常多，魚龍混雜，消費(fèi)者在選擇軟件下載時(shí)盡量要從官方渠道下載，不要從不可靠的第三方市場(chǎng)下載，也不要下載經(jīng)過(guò)修改過(guò)的破解版的軟件和游戲。目前大量的釣魚網(wǎng)站、盜號(hào)木馬和惡意軟件都是通過(guò)二維碼軟件的形式進(jìn)行隱藏，在上述演示實(shí)驗(yàn)中滲透入侵工具中就有一個(gè)簡(jiǎn)單的選項(xiàng)完成把木馬文件內(nèi)嵌到二維碼中的操作，故建議不要輕易掃描二維碼進(jìn)行軟件的下載和支付，給自己的移動(dòng)終端一個(gè)良好的信息安全環(huán)境。

3.3防范軟件的訪問(wèn)權(quán)限

現(xiàn)有的大量的殺毒軟件或防護(hù)軟件要求獲得用戶的ROOT權(quán)限，但作為一個(gè)普通的消費(fèi)者，由于ROOT權(quán)限過(guò)大很容易導(dǎo)致信息安全的泄露，故安裝殺毒軟件首先建議不要對(duì)自己的智能終端進(jìn)行ROOT、越獄等操作，從而減少安全隱患。

其次在安裝軟件的時(shí)候?qū)τ谀切┬枰L問(wèn)通信錄、照片、文檔權(quán)限的軟件，要有警惕意識(shí)，了解相關(guān)信息，減少隱患。目前市場(chǎng)上針對(duì)智能手機(jī)的殺毒安全軟件日漸成熟，安裝一款殺毒軟件能讓智能手機(jī)中的病毒和惡意軟件無(wú)處藏身。

3.4養(yǎng)成良好的支付習(xí)慣

移動(dòng)支付手段目前主要有遠(yuǎn)程支付和近場(chǎng)支付兩種，養(yǎng)成良好的支付習(xí)慣，是個(gè)人信息安全的保障。首先用戶在支付時(shí)盡量不要用商家提供的公共Wi-Fi，盡量使用已加密、比較安全的手機(jī)網(wǎng)絡(luò)進(jìn)行支付交易；其次，在遠(yuǎn)程支付時(shí)，要核對(duì)商家信息，明確付款金額和條款，防止被詐騙。二維碼應(yīng)用越來(lái)越廣泛，多數(shù)二維碼掃碼工具并不具有識(shí)別惡意網(wǎng)址的能力，只是簡(jiǎn)單將二維碼翻譯成網(wǎng)站地址，因此，在支付時(shí)加強(qiáng)對(duì)手機(jī)的管理，以免出現(xiàn)多付，重付的情況。

3.5時(shí)常備份手機(jī)資料

手機(jī)一旦丟失，手機(jī)里面的資料也會(huì)一起丟失，并有泄露的危險(xiǎn)，目前云端技術(shù)發(fā)展日漸成熟，將手機(jī)里的信息備份到云端，能夠讓用戶在手機(jī)丟失后通過(guò)互聯(lián)網(wǎng)訪問(wèn)云端，實(shí)現(xiàn)信息的找回。同時(shí)開(kāi)啟手機(jī)的定位功能，通過(guò)手機(jī)的定位將手機(jī)找回，防止信息的進(jìn)一步泄露。

4　總結(jié)展望

隨著移動(dòng)智能終端技術(shù)的不斷發(fā)展，所應(yīng)用的領(lǐng)域也逐漸滲透到生活的方方面面。移動(dòng)智能終端的安全管理將成為未來(lái)十年的信息安全發(fā)展的主要熱點(diǎn)。本文使用簡(jiǎn)單易懂的網(wǎng)絡(luò)滲透工具進(jìn)行測(cè)試實(shí)驗(yàn)，從而顯示移動(dòng)智能終端的使用安全風(fēng)險(xiǎn)，并針對(duì)該安全風(fēng)險(xiǎn)提出加強(qiáng)使用安全防范意識(shí)等安全建議。另外網(wǎng)絡(luò)運(yùn)營(yíng)商的安全技術(shù)升級(jí)和政府統(tǒng)一完善法律法規(guī)的建設(shè)也是未來(lái)保證移動(dòng)終端安全使用的基礎(chǔ)，共同組成未來(lái)移動(dòng)智能終端安全管理的三大方向。

參考文獻(xiàn)

[1]百度手機(jī)衛(wèi)士.2015年上半年中國(guó)互聯(lián)網(wǎng)移動(dòng)安全報(bào)告[R].百度手機(jī)衛(wèi)士.2015-08-14.

[2]王菲飛.淺析智能手機(jī)惡意代碼的檢測(cè)與防護(hù)技術(shù)[J].保密科學(xué)技術(shù), 2012(04).

[3]劉彬彬, 李永忠, 舒俊.Android平臺(tái)下的病毒原理分析及其防御技術(shù)研究[J].電子設(shè)計(jì)工程, 2013(04).

[4]羅驍茜, 鄭浩彬.基于網(wǎng)絡(luò)數(shù)據(jù)的手機(jī)病毒主動(dòng)監(jiān)測(cè)系統(tǒng)及應(yīng)用[J].電信工程技術(shù)與標(biāo)準(zhǔn)化, 2014(06).

Risk assessment and safety protection of smart mobilephone

LIU Yuan-ming
(China Mobile Group Guangdong Co., Ltd.Zhongshan Branch, Zhongshan 528400, China)

AbstractWith the development of mobile terminal technology and mobile communication technology, smart mobilephones are using in more and more aspect, including shopping, payment, fi nancial products and other fi nancial services, the security of smart mobilephoneshas become the focus of social security.In this paper, the risk assessment of smart mobilephones is carried out by using Linux Kali system for an example and put forward the suggestion of safty protection for smart mobilephones.

Keywordssmart mobilephone; security risk; infi ltration; safety protection suggestion

收稿日期：2015-12-08

中圖分類號(hào)TN929.5

文獻(xiàn)標(biāo)識(shí)碼A

文章編號(hào)1008-5599（2016）03-0063-04