劉 暢

（廣東廣播電視大學(xué)，廣東 廣州 510091）

1.引言

隨著3G網(wǎng)絡(luò)的普及，手機(jī)已逐漸從一個(gè)簡單的通訊工具轉(zhuǎn)變?yōu)槿藗內(nèi)粘Ｉ畹牡昧χ?，越來越多的人開始青睞擁有獨(dú)立操作系統(tǒng)的智能手機(jī)。智能手機(jī)銷量呈現(xiàn)的爆炸性增長便說明了這點(diǎn)。截至2012年二季度，中國智能手機(jī)用戶數(shù)已達(dá)到 2.9億戶。另一方面，互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2011年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)報(bào)告》顯示，2011年共捕獲移動(dòng)互聯(lián)網(wǎng)惡意程序6249個(gè)，較上年增加兩倍。顯然，手機(jī)用戶在體驗(yàn)新興科技的同時(shí)，也不可避免地面對(duì)來自手機(jī)病毒的威脅。

2.手機(jī)病毒的產(chǎn)生條件與特征

智能手機(jī)硬件主要由 CPU、存儲(chǔ)器、輸入輸出設(shè)備等構(gòu)成，為應(yīng)對(duì)高要求的應(yīng)用程序，現(xiàn)在的機(jī)型還帶有藍(lán)牙、攝像頭、WiFi等功能模塊，采用雙CPU（雙核）架構(gòu)。雙CPU結(jié)構(gòu)采取通信和應(yīng)用分離的處理方式：一個(gè)CPU（通信處理器）負(fù)責(zé)處理通信；另一個(gè)CPU（應(yīng)用程序處理器）負(fù)責(zé)處理商務(wù)、娛樂等其他應(yīng)用。智能手機(jī)的硬件體系結(jié)構(gòu)如下圖1。

圖1 智能手機(jī)的硬件體系結(jié)構(gòu)

從上圖可以看出，智能手機(jī)具有馮·諾依曼計(jì)算機(jī)結(jié)構(gòu)體系。計(jì)算機(jī)病毒研究先驅(qū)科恩證明了在具有馮·諾依曼結(jié)構(gòu)的機(jī)器中，病毒將長期且不可避免地存在，[1]因此，如同計(jì)算機(jī)一樣，智能手機(jī)也具有存在病毒的可能性。

2004年6 月，一個(gè)名為“SYMBOS_CABIR.A”的蠕蟲病毒開始在智能手機(jī)中傳播。該病毒以藍(lán)牙為傳播途徑，迅速耗盡手機(jī)電池，是第一個(gè)能對(duì)手機(jī)硬件造成破壞的病毒。[2]自此，手機(jī)病毒開始呈逐年上升趨勢(shì)，其具有類似計(jì)算機(jī)病毒的以下特點(diǎn)：

（1）偽裝性。病毒通常偽裝成正常程序，使用戶認(rèn)為其安全而放松警惕。

（2）寄生潛伏性。很多病毒進(jìn)入手機(jī)后不會(huì)立即發(fā)作，而是通過觸發(fā)機(jī)制檢查預(yù)定條件是否滿足。若條件滿足，便啟動(dòng)破壞程序危害手機(jī)，否則繼續(xù)潛伏。

（3）破壞性。病毒能對(duì)手機(jī)系統(tǒng)進(jìn)行干擾，妨礙手機(jī)的正常使用。許多病毒能盜取用戶信息、降低系統(tǒng)性能、損壞手機(jī)硬件等。

（4）繁殖傳染性。病毒在運(yùn)行后開始進(jìn)行自我復(fù)制（繁殖），不但會(huì)影響手機(jī)的其他程序，而且通過文件傳輸?shù)韧緩竭€能感染其他手機(jī)。

3.手機(jī)病毒常見的攻擊方式和危害

病毒可以通過多種方式進(jìn)行攻擊，給手機(jī)帶來巨大威脅。能夠造成的比較嚴(yán)重的危害有：

（1）竊取用戶信息。為方便使用，許多用戶將重要資料儲(chǔ)存在手機(jī)中，如銀行帳號(hào)信息、通訊錄等。一旦這些信息被惡意程序竊取，將帶來巨大損失?！帮埖甏笸酢碧评隆は栴D就曾因?yàn)槭謾C(jī)被黑客入侵，丟失了重要客戶的信息。

（2）給用戶帶來經(jīng)濟(jì)損失。一些惡意程序安裝后在手機(jī)中種植木馬，通過定時(shí)扣費(fèi)或服務(wù)訂制的方式牟取利益，使用戶遭受經(jīng)濟(jì)損失。2012年初的一款名為“美容精靈”的軟件，以“診斷皮膚狀況”功能為偽裝，在手機(jī)中植入定時(shí)扣費(fèi)木馬，感染了近兩萬部手機(jī)。

（3）損害手機(jī)軟硬件。很多病毒發(fā)作后使手機(jī)系統(tǒng)無法使用，最終導(dǎo)致系統(tǒng)崩潰。部分病毒還會(huì)格式化手機(jī)內(nèi)存，或者使手機(jī)頻繁自動(dòng)開關(guān)機(jī)，降低手機(jī)使用壽命。

4.手機(jī)病毒的Rootkit技術(shù)

現(xiàn)在主流的反病毒軟件能通過遍歷手機(jī)中的文件，實(shí)時(shí)監(jiān)測程序運(yùn)行情況。一旦發(fā)現(xiàn)可疑程序，反病毒軟件會(huì)采取隔離或查殺的方式來保障手機(jī)安全。隨著反病毒軟件的發(fā)展，一般的病毒帶來的危害已大為降低。為了提高生存率，如今的病毒開始采用更先進(jìn)的技術(shù)來偽裝自己，如 Rootkit技術(shù)。

Rootkit技術(shù)是最早出現(xiàn)在計(jì)算機(jī)領(lǐng)域中，使用操作系統(tǒng)最高權(quán)限來隱藏程序進(jìn)程的技術(shù)，后來逐漸成為隱藏黑客入侵痕跡和偽裝惡意程序的手段。Rootkit技術(shù)需依靠操作系統(tǒng)運(yùn)行，由于智能手機(jī)大都已采用獨(dú)立操作系統(tǒng)，這使Rootkit病毒有了生存的平臺(tái)和空間。

內(nèi)核級(jí)Rootkit帶來的威脅最大。比如對(duì)于Linux操作系統(tǒng)的智能手機(jī)，Rootkit可以利用LKM技術(shù)截獲部分系統(tǒng)調(diào)用，創(chuàng)建病毒運(yùn)行的環(huán)境。[3]Rootkit常見的攻擊方式是監(jiān)聽目標(biāo)手機(jī)通話與截獲短信和獲取用戶位置：

（1）正常情況下，當(dāng)手機(jī)接收到短信后，會(huì)由 Modem等層向用戶應(yīng)用層上報(bào)短信，使用戶在上層查看短信。而Rootkit一旦被成功植入手機(jī)，它就會(huì)開始破壞短信的正常處理流程，截取上報(bào)的短信，并將其發(fā)送給攻擊者，從而泄露用戶隱私；

（2）攻擊者也可以利用Rootkit獲取用戶當(dāng)前的方位。首先向已植入Rootkit的手機(jī)發(fā)送觸發(fā)短信，在短信上報(bào)到上層應(yīng)用前將其攔截，中止通告并刪除短信，隨后利用GPS查出用戶位置并通過短信回發(fā)給攻擊者。

Rootkit病毒常作為驅(qū)動(dòng)程序安裝在手機(jī)系統(tǒng)的內(nèi)核中，通過修改系統(tǒng)內(nèi)核代碼來改變系統(tǒng)核心數(shù)據(jù)。而通常的反病毒工具只能運(yùn)行在用戶模式下，因此運(yùn)行在內(nèi)核模式下的病毒能輕松繞開反病毒工具的檢測。Rootkit技術(shù)由于其良好的隱蔽性，正成為手機(jī)病毒發(fā)展的一個(gè)重要方向。

5.主流系統(tǒng)的安全機(jī)制和隱患

（1）Android系統(tǒng)

Android操作系統(tǒng)是Google公司開發(fā)的，建立于Linux系統(tǒng)的開源系統(tǒng)，近幾年發(fā)展極為迅速。

Android系統(tǒng)是一種權(quán)限分離的操作系統(tǒng)，系統(tǒng)內(nèi)的每個(gè)應(yīng)用以唯一的身份標(biāo)識(shí)（Linux用戶ID和組ID）運(yùn)行在一個(gè)封閉的環(huán)境（沙箱）中，除非特別授權(quán)，否則無法影響其他應(yīng)用。應(yīng)用在安裝時(shí)必須申明其運(yùn)行需獲得的權(quán)限。當(dāng)某個(gè)權(quán)限與操作和系統(tǒng)資源對(duì)象綁定在一起，應(yīng)用必須獲得這個(gè)權(quán)限才能在對(duì)象上執(zhí)行操作。在應(yīng)用被執(zhí)行安裝時(shí)，其請(qǐng)求獲得的權(quán)限必須通過manifest文件交用戶審查，用戶同意授權(quán)后，該應(yīng)用才能完成安裝。所以，Android 系統(tǒng)實(shí)施的安全準(zhǔn)則是應(yīng)用程序得到權(quán)限許可后，才能執(zhí)行可能會(huì)影響到系統(tǒng)其它部分的操作。[4]

Android系統(tǒng)的特色安全機(jī)制是數(shù)字證書機(jī)制。Android系統(tǒng)通過數(shù)字證書來確認(rèn)不同應(yīng)用是否來自同一開發(fā)者，規(guī)定只有通過簽名認(rèn)證的應(yīng)用才可被安裝。一個(gè)應(yīng)用在正式發(fā)布時(shí)必須簽名，這要利用開發(fā)者的私匙生成數(shù)字證書來實(shí)現(xiàn)。數(shù)字證書是有有效期限的，過期的證書會(huì)導(dǎo)致應(yīng)用無法安裝。sharedUserId 機(jī)制和權(quán)限機(jī)制都用到簽名方法來執(zhí)行signature 和signatureOrSystem 權(quán)限。[5]

不過數(shù)字證書機(jī)制無法完全限制惡意程序的開發(fā)。目前Android的應(yīng)用數(shù)量大，品種多，而用戶往往無法區(qū)分惡意程序和正常程序，在安裝時(shí)會(huì)給予程序申明的所有權(quán)限，這使安全隱患大大增加。現(xiàn)在流行的針對(duì)瀏覽器 webkit的攻擊，MITM攻擊等，都是基于應(yīng)用程序的攻擊，由于攻擊成功率高，它們正逐漸成為攻擊者頻繁利用的手段。

（2）iOS系統(tǒng)

iOS操作系統(tǒng)是蘋果公司開發(fā)的以Darwin為基礎(chǔ)的操作系統(tǒng)。相對(duì)于Android系統(tǒng)，iOS系統(tǒng)的安全性能更高。

iPhone的處理器集成有一段名為Boot Room的代碼，系統(tǒng)啟動(dòng)時(shí)，Boot Room通過蘋果的Apple Root CA Public證書對(duì) Low-Level BootLoader進(jìn)行驗(yàn)證，若通過驗(yàn)證，Low-Level BootLoader將運(yùn)行iBoot和高層次的Bootloader，如果通過，iBoot將運(yùn)行系統(tǒng)。Boot Room保證了iOS設(shè)備無法運(yùn)行iOS系統(tǒng)以外的其他系統(tǒng)。

iOS系統(tǒng)也采用沙箱安全機(jī)制，而且蘋果公司對(duì)運(yùn)行在iPhone上的應(yīng)用進(jìn)行嚴(yán)格限制。運(yùn)行的應(yīng)用只能是由 App Store提供的經(jīng)過審核的，且所有第三方應(yīng)用都需要使用應(yīng)用開發(fā)者的賬號(hào)進(jìn)行簽名，而該賬號(hào)都是通過蘋果官方實(shí)名審核的賬號(hào)，來源透明可靠，從源頭上保障了程序的安全性。另外，開發(fā)者在開發(fā)應(yīng)用時(shí)只能使用蘋果公司提供的SDK，與Android開源的做法不同，SDK中很多函數(shù)都經(jīng)過加密，能限制開發(fā)者開發(fā)危害手機(jī)安全的應(yīng)用，遏制了基于應(yīng)用程序的惡意攻擊行為。

不少用戶想嘗試安裝App Store以外的應(yīng)用程序，因此想方設(shè)法破解iPhone的安裝權(quán)限限制，利用iOS系統(tǒng)的漏洞實(shí)現(xiàn)“越獄”。越獄能夠給用戶帶來全新的體驗(yàn)，但也存在安全隱患。比如實(shí)現(xiàn)越獄之后，用戶獲取了系統(tǒng)的 root修改權(quán)限，如果未及時(shí)更改最高權(quán)限的密碼，很可能被侵入；成功越獄的用戶能下載各種非蘋果官方的應(yīng)用，但這些應(yīng)用由于未經(jīng)審核可能暗藏木馬和病毒，使安全風(fēng)險(xiǎn)大增；為了使越獄不失效，用戶往往不選擇升級(jí)系統(tǒng)，而陳舊的系統(tǒng)可能存在漏洞，容易被攻擊。因此，雖然iOS系統(tǒng)的安全性較好，但越獄過的iOS系統(tǒng)會(huì)暴露很多安全問題。

6.結(jié)語

隨著智能手機(jī)的普及，手機(jī)病毒也在迅速發(fā)展并逐漸威脅到用戶的隱私和財(cái)產(chǎn)安全。隨著一些與用戶財(cái)產(chǎn)相關(guān)的應(yīng)用的面世（如手機(jī)支付），使得手機(jī)病毒的防范工作迫在眉睫。因此，為了降低手機(jī)病毒帶來的危害，用戶首先應(yīng)加強(qiáng)自我防護(hù)意識(shí)，提高對(duì)不信任軟件的警惕性，慎重安裝第三方應(yīng)用，安裝并及時(shí)更新反病毒軟件；其次，網(wǎng)絡(luò)運(yùn)營商應(yīng)加強(qiáng)對(duì)移動(dòng)網(wǎng)絡(luò)的管理，加大對(duì)傳輸內(nèi)容的審核力度，從源頭打擊病毒傳播；第三，國家需完善信息安全方面的法案，出臺(tái)相應(yīng)的保護(hù)條例來維護(hù)手機(jī)用戶的權(quán)益，防止給不法分子提供可趁之機(jī)。

[1]科恩.計(jì)算機(jī)病毒——理論和實(shí)驗(yàn)[J].計(jì)算機(jī)與安全，1987，（1）.

[2]保羅森.發(fā)現(xiàn)的第一個(gè)智能手機(jī)病毒[J].IEEE，2004，（8）.

[3]陳華亭.基于LKM的Rootkit技術(shù)[J].計(jì)算機(jī)工程與科學(xué)，2004，（2）.

[4]Shin W，Kiyomoto S，F(xiàn)ukushima K，et al.A formal model to analyze the permission authorization and enforcement in the android framework.International Symposium on Secure Computing （Secure Com-10）2010：944—945.

[5]廖明華.Android 安全機(jī)制分析與解決方案初探[J].科學(xué)技術(shù)與工程，2011，（26）.