馮志杰, 李紅雙

（中國(guó)移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司河北分公司，石家莊 050021）

1 智能終端現(xiàn)狀

移動(dòng)智能終端是指具備開放操作系統(tǒng)平臺(tái)和PC級(jí)處理能力的移動(dòng)終端，包括智能手機(jī)和平板電腦（PAD）。

全球智能終端市場(chǎng)正以爆炸性的態(tài)勢(shì)迅猛發(fā)展。2011年全球移動(dòng)終端銷量約16億部，而移動(dòng)智能手機(jī)銷量更是達(dá)到4.72億部。另據(jù)市場(chǎng)研究公司Canalys發(fā)布數(shù)據(jù)顯示，2012年第二季度中國(guó)市場(chǎng)智能手機(jī)（不含PAD）出貨量與去年同期相比增長(zhǎng)了199%，達(dá)到了4200萬部。

智能終端的操作系統(tǒng)是終端軟件平臺(tái)體系的核心，其向下適配硬件系統(tǒng)發(fā)揮終端基礎(chǔ)效能，向上支撐應(yīng)用軟件決定用戶最終體驗(yàn)?，F(xiàn)有智能終端的操作系統(tǒng)軟件平臺(tái)主要有Android（含OMS、WebOS等）、iOS、BlackBerry、Symbian、Windows（含Windows Phone7和Windows Mobile）、Linux等，咨詢公司IDC的數(shù)據(jù)顯示2012年一季度市場(chǎng)份額如圖1所示。

圖1 智能終端操作系統(tǒng)所占市場(chǎng)份額

2 智能終端安全問題

智能終端的日益普及使得終端安全問題日益嚴(yán)峻。移動(dòng)智能終端技術(shù)層次體系包含許多層面。將這些層次歸類包含硬件層，固件層，操作系統(tǒng)層，應(yīng)用層4個(gè)層面。具體如圖2所示。

排除物理安全的因素，硬件層面本身不具有被攻擊的特性，因此智能終端的安全問題多集中在固件、操作系統(tǒng)和應(yīng)用3個(gè)層面。

圖2 智能終端技術(shù)架構(gòu)

2.1 固件層面存在的安全問題

僅依賴于操作系統(tǒng)和應(yīng)用級(jí)別的安全防范機(jī)制已經(jīng)不能滿足信息安全技術(shù)的發(fā)展需求，智能終端安全體系必須進(jìn)一步向下延伸到系統(tǒng)固件層。以1999年大規(guī)模爆發(fā)的CIH病毒為代表，惡意代碼對(duì)系統(tǒng)的入侵開始向下延伸到固件層。統(tǒng)一可擴(kuò)展固件接口(UEFI，Unified Extensible Firmware Interface)聯(lián)盟，于2006年推出UEFI 2.0固件標(biāo)準(zhǔn)。這一標(biāo)準(zhǔn)目前被廣泛的應(yīng)用于智能機(jī)固件，包含固件的寫入與升級(jí)、EFI預(yù)啟動(dòng)(PEI)、驅(qū)動(dòng)運(yùn)行環(huán)境（DXE）、選擇啟動(dòng)設(shè)備（BDS）、操作系統(tǒng)啟動(dòng)（OS Boot）等幾個(gè)階段。具體如圖3所示。

第1步的固件寫入與升級(jí)操作具有非常大的風(fēng)險(xiǎn)性，因?yàn)橐坏┌惭b嵌入了不安全代碼或者惡意程序的固件會(huì)令智能終端始終運(yùn)行在不安全的環(huán)境之中。雖然UEFI標(biāo)準(zhǔn)中加入了關(guān)于可信啟動(dòng)、數(shù)字簽名和數(shù)字摘要等服務(wù)的定義，但是據(jù)IDC報(bào)告顯示，多數(shù)智能終端的寫入呈開放狀態(tài)，未啟用基于數(shù)字認(rèn)證技術(shù)，也就不能夠禁止未知代碼的寫入和運(yùn)行。

2.2 操作系統(tǒng)存在的安全問題

當(dāng)前智能終端的操作系統(tǒng)均是各廠商在自有操作系統(tǒng)（Windows、Linux、Darwin）的基礎(chǔ)上進(jìn)行大量的自定義開發(fā)，但是安全機(jī)制仍采用原有操作系統(tǒng)的架構(gòu)。對(duì)功能和應(yīng)用重視的同時(shí)輕視了安全，這就使得操作系統(tǒng)成了安全問題的根源。

市場(chǎng)占有率超過智能終端半數(shù)的Android平臺(tái)，其安全體系的設(shè)計(jì)沿襲了Linux的安全架構(gòu)。Android平臺(tái)權(quán)限的決策交給了用戶，而多數(shù)的應(yīng)用程序開發(fā)者都希望盡可能申請(qǐng)到最大范圍的權(quán)限，即使應(yīng)用本身不需要太大的權(quán)限（為了達(dá)到市場(chǎng)和用戶行為分析等目的，許多應(yīng)用程序在后臺(tái)進(jìn)行網(wǎng)絡(luò)連接和手機(jī)用戶個(gè)人信息等操作）。大部分的Android智能終端用戶由于知識(shí)水平有限，無法對(duì)程序的運(yùn)行權(quán)限進(jìn)行正確決策。有時(shí)在安裝或使用這些應(yīng)用程序時(shí)，明明知道權(quán)限請(qǐng)求不合理，但為了使用相關(guān)功能只能選擇同意。

市場(chǎng)占有率第二的iOS平臺(tái)安全體系遵循 “沙箱”安全原則，系統(tǒng)文件、資源以及內(nèi)核都與用戶應(yīng)用程序相隔離。若應(yīng)用程序要訪問其它程序的數(shù)據(jù)，則必須通過iPad OS提供的API進(jìn)行訪問。另外iOS的應(yīng)用安全檢測(cè)原理可以確保蘋果公司對(duì)每款公開應(yīng)用程序進(jìn)行檢測(cè)，但這種檢測(cè)方式也并不是萬無一失。但是，iOS不能夠很好地防范惡意軟件攻擊、數(shù)據(jù)丟失型攻擊、以及拒絕服務(wù)式攻擊、資源濫用型攻擊。

圖3 智能終端系統(tǒng)啟動(dòng)過程

Windows Phone吸取了Android和iOS平臺(tái)的安全經(jīng)驗(yàn)，但2011年底爆出的Windows Phone短信漏洞可跨平臺(tái)觸發(fā)DOS攻擊，受攻擊的智能終端會(huì)出現(xiàn)黑屏、重啟等現(xiàn)象。另外，基于CE核心的Windows Phone運(yùn)行中有產(chǎn)生垃圾文件較多，導(dǎo)致系統(tǒng)運(yùn)行緩慢的現(xiàn)象，從安全運(yùn)行的角度來說也是一種潛在的安全隱患。

智能終端操作系統(tǒng)的ROOT權(quán)限被濫用（或稱越獄）問題是智能終端安全的最大問題。智能終端的操作系統(tǒng)通常只賦予用戶和應(yīng)用程序有限的權(quán)限，以保障系統(tǒng)的運(yùn)行安全和數(shù)據(jù)安全。據(jù)越獄軟件Cydia創(chuàng)始人Jay Freeman透露，全球有10%的iPhone進(jìn)行過越獄，在中國(guó)越獄的比例達(dá)到了60%。當(dāng)用戶放開超級(jí)用戶權(quán)限后，病毒或木馬等非法軟件就會(huì)有可乘之機(jī)被賦予較大權(quán)限，引起安全問題。例如360手機(jī)衛(wèi)士等軟件只能在越獄后的iPhone和ROOT后的Android平臺(tái)安裝，安全軟件本身就給智能終端用戶帶來了不安全性。

2.3 應(yīng)用層面存在的安全問題

相比固件層面和操作系統(tǒng)層面，應(yīng)用層面的安全問題更為復(fù)雜。智能終端應(yīng)用程序來源的多樣化使得應(yīng)用程序安全問題日益突出。

蘋果、谷歌，微軟，諾基亞等分別出了各自官方的應(yīng)用商店Android G o o g l e P l a y（ 原Android Market）、A p p l e A p p S t o r e、Windows Marketplace、Symbian OVI。智能終端應(yīng)用軟件傳播途徑除了以上官方應(yīng)用商店外，還有第三方市場(chǎng)外，論壇或者好友傳播等方式，可以說是比較混雜，具體如圖4所示。

蘋果官方的Appsotre和微軟的Marketplace審核相對(duì)嚴(yán)格，谷歌的Google Play則采用了“保鏢Bouncer”對(duì)應(yīng)用商店進(jìn)行掃描，查找惡意軟件檢查可疑行為。第三方市場(chǎng)和論壇等則缺乏相應(yīng)的審核和檢測(cè)機(jī)制，為灰色產(chǎn)業(yè)鏈打開了一個(gè)方便之門，不法應(yīng)用開發(fā)商往往在正常的應(yīng)用程序中惡意夾帶。

除了在應(yīng)用程序中夾帶木馬、病毒，惡意獲取智能機(jī)的網(wǎng)絡(luò)、電話、短信、個(gè)人敏感信息權(quán)限外，應(yīng)用層面的另一主要問題是編碼的不規(guī)范帶來的SQL注入問題。SQL注入問題是指編程過程中，經(jīng)常會(huì)把用戶輸入的數(shù)據(jù)拼成一個(gè)SQL語句，然后直接發(fā)送給服務(wù)器執(zhí)行，比如string SqlStr＝select * from customers where CompanyName Like % + textBox1.Text + %;這樣的字符串連接可能會(huì)帶來災(zāi)難性的結(jié)果，比如用戶在文本框中輸入：a or 1=1那么SqlStr的內(nèi)容就是：select * from customers where CompanyName like%a or 1=1整個(gè)customers數(shù)據(jù)表的所有數(shù)據(jù)就會(huì)被全部檢索出來，因?yàn)?=1永遠(yuǎn)true。終端應(yīng)用程序的注入如圖5所示。

圖4 智能終端應(yīng)用獲取方式

圖5 應(yīng)用程序SQL注入問題

3 智能終端的安全防護(hù)體系

在充分考慮智能終端現(xiàn)狀基礎(chǔ)上，根據(jù)智能終端的安全需求，本文從安全管理體系、固件安全、網(wǎng)絡(luò)安全、操作系統(tǒng)安全和應(yīng)用安全等5個(gè)方面進(jìn)行移動(dòng)終端安全防護(hù)體系的設(shè)計(jì)，如圖6所示。

3.1 建立完善的安全管理體系

建立和完善監(jiān)管機(jī)構(gòu)、檢測(cè)機(jī)構(gòu)和應(yīng)用軟件開發(fā)商等3層的認(rèn)證認(rèn)可體系。監(jiān)管機(jī)構(gòu)應(yīng)依照法律法規(guī)和標(biāo)準(zhǔn)對(duì)相應(yīng)的檢測(cè)機(jī)構(gòu)和應(yīng)用軟件開發(fā)商進(jìn)行管理，對(duì)監(jiān)管機(jī)構(gòu)的技術(shù)能力進(jìn)行評(píng)估和認(rèn)可，賦予檢測(cè)機(jī)構(gòu)對(duì)軟件進(jìn)行相應(yīng)檢測(cè)的資質(zhì)。檢測(cè)機(jī)構(gòu)依據(jù)相應(yīng)的標(biāo)準(zhǔn)對(duì)應(yīng)用軟件進(jìn)行檢測(cè)審核，并將通過檢測(cè)的軟件進(jìn)行數(shù)字證書的發(fā)放。將含數(shù)字證書的應(yīng)用軟件發(fā)布到可信網(wǎng)站或應(yīng)用商店上供智能終端用戶查詢和下載使用。

圖6 智能終端安全防護(hù)體系框架

3.2 固件層面安全防護(hù)建議

固件層面安全的防范主要是防止惡意代碼先于操作系統(tǒng)加載到智能終端，優(yōu)先獲得智能終端的控制權(quán)，導(dǎo)致安全軟件不能對(duì)其有效地清除。因此，固件的寫入和升級(jí)過程要嚴(yán)格的控制，手機(jī)廠商要切實(shí)負(fù)起責(zé)任，對(duì)檢測(cè)合格的固件發(fā)放數(shù)字證書，寫入固件之前要運(yùn)行相應(yīng)的數(shù)字證書檢測(cè)機(jī)制，對(duì)于沒有數(shù)字證書或完整性受到損害的固件做到及時(shí)的寫入阻止。

3.3 網(wǎng)絡(luò)安全防護(hù)建議

智能終端（認(rèn)證）準(zhǔn)入和網(wǎng)絡(luò)流量的監(jiān)測(cè)，對(duì)智能終端訪問控制是移動(dòng)運(yùn)營(yíng)商不可推卸的責(zé)任，網(wǎng)絡(luò)安全設(shè)計(jì)主要包括如下幾個(gè)方面：

身份認(rèn)證：智能終端應(yīng)支持采用智能認(rèn)證，提供身份認(rèn)證、電子簽名、權(quán)限管理等諸多安全功能。

網(wǎng)絡(luò)流量監(jiān)測(cè)：運(yùn)營(yíng)商應(yīng)實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)的非法流量，對(duì)非法流量進(jìn)行及時(shí)清洗，以保證智能終端正常訪問。

對(duì)智能終端的訪問控制是指運(yùn)營(yíng)商從網(wǎng)絡(luò)層面對(duì)智能終端所訪問的資源進(jìn)行控制，從網(wǎng)絡(luò)層面發(fā)現(xiàn)終端訪問的病毒、木馬等隱患資源。將中毒或木馬的信息及時(shí)推送給用戶。目前廣東移動(dòng)、江蘇移動(dòng)、河北移動(dòng)已經(jīng)進(jìn)行了試點(diǎn)，這種從網(wǎng)絡(luò)層面做到終端病毒、木馬防護(hù)的新思路效果較好，值得全國(guó)推廣。

3.4 操作系統(tǒng)層面安全防護(hù)建議

操作系統(tǒng)層面的安全防護(hù)，首先要及時(shí)向用戶宣傳ROOT權(quán)限相關(guān)的知識(shí)，說明放開ROOT權(quán)限的重要性。其次，系統(tǒng)平臺(tái)開發(fā)廠商應(yīng)啟用操作系統(tǒng)平臺(tái)的安全沙箱機(jī)制，做到系統(tǒng)文件、資源以及內(nèi)核都與用戶應(yīng)用程序相隔離。Android平臺(tái)應(yīng)該借鑒iOS和Windows Phone平臺(tái)改進(jìn)最終用戶手動(dòng)賦權(quán)模式，減少智能終端用戶用權(quán)限換取應(yīng)用功能時(shí)付出的安全代價(jià)。

3.5 應(yīng)用層面安全防護(hù)建議

針對(duì)目前我國(guó)現(xiàn)實(shí)情況，應(yīng)用層面安全的防護(hù)應(yīng)采取兩步走的策略。第一步，網(wǎng)上應(yīng)用商店應(yīng)加強(qiáng)自身的審核機(jī)制，建議APPStore和Windows Marketplace等網(wǎng)上商店借鑒Google Play的Bouncer掃描機(jī)制。第二步，待我國(guó)的檢測(cè)機(jī)構(gòu)完善后，統(tǒng)一由檢測(cè)機(jī)構(gòu)發(fā)放數(shù)字證書。智能終端自身應(yīng)能夠拒絕缺少數(shù)字證書應(yīng)用程序的安裝和運(yùn)行。

另外，應(yīng)用層面上，應(yīng)用程序開發(fā)廠商應(yīng)該嚴(yán)格審核源程序的編碼問題，規(guī)范編碼，對(duì)源程序做到嚴(yán)格黑盒測(cè)試和白盒測(cè)試，放置應(yīng)用程序被SQL注入。除此之外，智能終端還應(yīng)安裝殺毒軟件，并及時(shí)更新應(yīng)用程序，及時(shí)打補(bǔ)丁。

4 總結(jié)

隨著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，可以預(yù)見智能終端將成為人們?nèi)粘Ｉ詈凸ぷ鞑豢苫蛉钡囊徊糠?，因此智能終端的安全防護(hù)越來越重要。本文提出了移動(dòng)終端安全防護(hù)框架，從智能終端安全管理，固件層面，網(wǎng)絡(luò)安全，操作系統(tǒng)和應(yīng)用5個(gè)層面給出了防護(hù)建議。

此外，筆者明確提出智能終端的監(jiān)管和應(yīng)用程序的認(rèn)證機(jī)制有助于智能終端設(shè)備迅速進(jìn)一步推廣，對(duì)智能終端的安全防護(hù)和管理有很強(qiáng)的指導(dǎo)意義。

[1] 中國(guó)移動(dòng)終端安全管理規(guī)定（試行）[ EB/OL]. 中國(guó)移動(dòng)通信集團(tuán)公司，出版日期：2011-7-1.

[2] 付思源，劉功申，李建華. 基于UEFI固件的惡意代碼防范技術(shù)研究[J]. 計(jì)算機(jī)工程, 38（9）.

[3] 移動(dòng)互聯(lián)網(wǎng)應(yīng)用安全分析報(bào)告[R]. 國(guó)家網(wǎng)絡(luò)信息安全技術(shù)研究所, 2012年8月，6-7.