江蘇省通信管理局 劉永清 任光裕

智能手機(jī)安全分析

江蘇省通信管理局 劉永清 任光裕

背景

在2014年3·15晚會(huì)上，央視曝光了大量智能手機(jī)被經(jīng)銷商預(yù)裝了惡意軟件，導(dǎo)致手機(jī)被定制莫名服務(wù)、惡意扣費(fèi)，泄露用戶個(gè)人隱私等。央視調(diào)查顯示，北京鼎開互聯(lián)公司通過手機(jī)植入式服務(wù)平臺(tái)，為手機(jī)經(jīng)銷商量身訂作手機(jī)裝機(jī)軟件，他們把軟件預(yù)安裝在行貨手機(jī)中，大部分用戶由于擔(dān)心保修問題一般不敢刪除這些預(yù)裝軟件，該公司每月預(yù)裝130萬部手機(jī)，僅預(yù)裝業(yè)務(wù)為北京鼎開互聯(lián)公司每月帶來不菲的違法收入。

央視還曝光了另一家互聯(lián)網(wǎng)公司——大唐高鴻，該公司擁用4604家加盟代理商，每月安裝100萬部以上的手機(jī)，已安裝手機(jī)超過4600萬部，預(yù)安裝百度搜索、酷我音樂、新浪新聞等17款流行軟件，手機(jī)經(jīng)銷商每安裝一款軟件可以從大唐高鴻獲得0.7-3元不等的收入。這些被預(yù)裝軟件的手機(jī)在使用后，通過部分違規(guī)軟件可以監(jiān)測(cè)用戶使用情況，通過隱藏的自動(dòng)開啟的后臺(tái)程序獲取IMEI、MAC地址等手機(jī)設(shè)備信息及手機(jī)型號(hào)、手機(jī)應(yīng)用軟件列表，監(jiān)控手機(jī)軟件的應(yīng)用時(shí)間、網(wǎng)絡(luò)流量等信息，并將這些信息發(fā)送到大唐高鴻的官網(wǎng)服務(wù)器，這一行為侵犯了手機(jī)用戶的個(gè)人隱私。

移動(dòng)互聯(lián)網(wǎng)發(fā)展現(xiàn)狀

央視報(bào)道的經(jīng)銷商預(yù)植入軟件只是手機(jī)感染惡意程序的一種方式，這些惡意程序無孔不入，除了手機(jī)的生產(chǎn)、銷售環(huán)節(jié)外，手機(jī)應(yīng)用商店、論壇下載站點(diǎn)等都可能成為手機(jī)感染惡意程序的主要途徑。根據(jù)《2013年度江蘇省互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》統(tǒng)計(jì)，2013年，僅江蘇省就發(fā)生520,928,965起移動(dòng)互聯(lián)網(wǎng)惡意程序事件，平均每月有872,458個(gè)用戶感染惡意程序。其中，安卓平臺(tái)全年共有6,951,835個(gè)用戶感染，占被感染用戶總數(shù)的66.40%。

為什么智能手機(jī)感染惡意程序數(shù)量呈爆發(fā)式增長(zhǎng)，這與移動(dòng)互聯(lián)網(wǎng)普及帶動(dòng)智能手機(jī)快速增長(zhǎng)密切相關(guān)。根據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）發(fā)布的第34期《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，截至2014年6月，中國(guó)網(wǎng)民規(guī)模達(dá)6.32億，其中，手機(jī)網(wǎng)民規(guī)模5.27億，互聯(lián)網(wǎng)普及率達(dá)到46.9%。網(wǎng)民上網(wǎng)設(shè)備中，手機(jī)使用率達(dá)83.4%，首次超越傳統(tǒng)PC整體80.9%的使用率，手機(jī)已成為第一大上網(wǎng)終端。工信部發(fā)布數(shù)據(jù)顯示，2011、 2012年，我國(guó)智能終端出貨量分別為1.18 億、2.24 億部，2013年前11個(gè)月的我國(guó)智能手機(jī)出貨量為3.48 億部。

手機(jī)惡意程序的定義

隨著移動(dòng)互聯(lián)網(wǎng)逐步普及，部分心懷不軌的人開始盯上智能手機(jī)，通過編寫惡意軟件，并通過各種方式潛伏在用戶的終端上，獲取用戶的隱私信息，或者肆意定制付費(fèi)業(yè)務(wù)等，以此獲得不正當(dāng)?shù)氖杖?。根?jù)通信行業(yè)標(biāo)準(zhǔn)《移動(dòng)互聯(lián)網(wǎng)惡意程序描述格式》（YD/T 2439-2012）規(guī)定，移動(dòng)互聯(lián)網(wǎng)惡意程序主要分為惡意扣費(fèi)、隱私竊取、遠(yuǎn)程控制、惡意傳播、資費(fèi)消耗、系統(tǒng)破壞、誘騙欺詐、流氓行為等八大類型。

1、惡意扣費(fèi)

惡意扣費(fèi)是手機(jī)惡意軟件中最常見的行為，在用戶不知情或未授權(quán)情況下，通過隱蔽執(zhí)行、欺騙用戶點(diǎn)擊等手段，訂購各類收費(fèi)業(yè)務(wù)或使用手機(jī)支付，導(dǎo)致用戶經(jīng)濟(jì)損失。惡意扣費(fèi)的典型表現(xiàn)：1）自動(dòng)訂購移動(dòng)增值業(yè)務(wù)；2）自動(dòng)訂購收費(fèi)業(yè)務(wù)；3）自動(dòng)利用手機(jī)支付功能進(jìn)行消費(fèi)；4）直接扣除用戶資費(fèi)。[1]

2、隱私竊取

隱私竊取是近年來常見的一種手機(jī)安全威脅，惡意軟件在用戶不知情或未授權(quán)的情況下，獲取涉及用戶隱私信息。隱私竊取類軟件的典型表現(xiàn)：1）獲取短信、彩信、郵件、通訊錄以及通話記錄等內(nèi)容；2）獲取地理位置、手機(jī)號(hào)碼等信息；3）獲取本機(jī)已安裝軟件、各種賬號(hào)、各類密碼等信息。4）通過手機(jī)使用網(wǎng)銀、支付寶、微信、QQ等業(yè)務(wù)，各類賬號(hào)都存在被盜用的風(fēng)險(xiǎn)。

3、遠(yuǎn)程控制

遠(yuǎn)程控制是PC和手機(jī)安全威脅中常見的一種形式，在用戶不知情或未授權(quán)的情況下，通過控制端控制一個(gè)或多個(gè)受控端，對(duì)受控端進(jìn)行遠(yuǎn)程操作，用戶的手機(jī)一旦被遠(yuǎn)程控制，將面臨群發(fā)短信、惡意扣費(fèi)、下載病毒等威脅。遠(yuǎn)程控制行為的典型表現(xiàn)：1）由控制端主動(dòng)發(fā)出指令進(jìn)行遠(yuǎn)程控制；2）由受控端主動(dòng)向控制端請(qǐng)求指令。

4、惡意傳播

在用戶不知情或未授權(quán)的情況下，通過復(fù)制、感染、投遞、下載等方式將自身及衍生物或其它移動(dòng)互聯(lián)網(wǎng)惡意代碼進(jìn)行擴(kuò)散的行為。惡意傳播類惡意軟件行為典型特征：1）發(fā)送包含惡意代碼鏈接的短信、彩信、郵件等；2）利用藍(lán)牙、紅外、無線網(wǎng)絡(luò)通訊技術(shù)向其它移動(dòng)終端發(fā)送惡意代碼；3）下載惡意代碼、感染其它文件、向存儲(chǔ)卡等移動(dòng)存儲(chǔ)設(shè)備上復(fù)制惡意代碼。

5、資費(fèi)消耗

在用戶不知情或未授權(quán)的情況下，通過自動(dòng)發(fā)送短信、彩信、郵件、連接網(wǎng)絡(luò)等方式，導(dǎo)致用戶資費(fèi)損失。資費(fèi)消耗類惡意軟件典型特征：1）自動(dòng)發(fā)送短信、彩信、郵件；2）自動(dòng)連接網(wǎng)絡(luò)，產(chǎn)生網(wǎng)絡(luò)流量。

6、系統(tǒng)破壞

手機(jī)的惡意程序被激發(fā)后，就可能進(jìn)行破壞活動(dòng)，輕者加劇手機(jī)耗電、降低運(yùn)行速度，重者使手機(jī)中的重要文件、數(shù)據(jù)被肆意篡改或全部丟失，甚至使整個(gè)手機(jī)系統(tǒng)癱瘓。系統(tǒng)破壞類惡意軟件典型特征：1）卸載手機(jī)中的其他軟件；2）刪除、修改或者破壞手機(jī)中的數(shù)據(jù)；3）破壞手機(jī)的操作系統(tǒng)。

7、誘騙欺詐

誘騙欺詐類惡意軟件通常帶有隱私獲取的特征，通過偽裝成系統(tǒng)組件、應(yīng)用軟件或游戲軟件誘騙用戶下載安裝后，或進(jìn)行廣告推廣，或竊取、收集用戶手機(jī)IMEI號(hào)或MAC地址等固件信息，造成用戶隱私泄漏。誘騙欺詐類惡意軟件典型特征：1）通過偽裝誘騙用戶下載安裝；2）推送廣告信息；3）竊取用戶隱私。

8、流氓行為

一般是指在用戶不完全知情和認(rèn)可（包括未經(jīng)用戶許可、強(qiáng)迫引導(dǎo)用戶許可或隱瞞關(guān)鍵信息等）的情況下強(qiáng)行安裝惡意軟件到用戶手機(jī)中，或者一旦安裝就無法正常卸載和刪除，進(jìn)而強(qiáng)行彈出廣告，強(qiáng)迫用戶接受某些操作。流氓行為類惡意軟件典型特征：1）強(qiáng)行用戶安裝；2）用戶無法以正常的手段卸載和刪除；3）彈出式廣告或以其他形式進(jìn)行廣告宣傳。

手機(jī)惡意程序的檢測(cè)

針對(duì)全球日益嚴(yán)重的手機(jī)安全問題，越來越多的移動(dòng)互聯(lián)網(wǎng)安全廠商開始研究手機(jī)惡意軟件的檢測(cè)方法，提升移動(dòng)互聯(lián)網(wǎng)的使用安全。

1、專業(yè)人員檢測(cè)方法

目前通常有兩種主流的惡意軟件檢測(cè)方法是：基于特征代碼的檢測(cè)和基于行為的檢測(cè)。[2]

（1）基于特征代碼的檢測(cè)方法需要從惡意軟件中提取出若干段具有唯一性、固定性的字節(jié)碼作為該惡意軟件的特征，并通過大量的惡意軟件樣本構(gòu)建特征庫，通過特征庫中的特征串去檢測(cè)待測(cè)文件或內(nèi)存，發(fā)現(xiàn)匹配項(xiàng)則可判斷目標(biāo)感染了惡意代碼。基于特征代碼的檢測(cè)方法具有效率高、誤報(bào)率低等優(yōu)點(diǎn)，但是無法檢測(cè)到新型的惡意程序。

（2）基于行為的檢測(cè)方法依靠監(jiān)視程序的行為，與已知的惡意行為模式進(jìn)行匹配，來判斷目標(biāo)程序是否具備惡意趨向?；谛袨榈臋z測(cè)方法具有特征庫小、無需頻繁更新等優(yōu)點(diǎn)，并能夠檢測(cè)到未知惡意程序。

2、普通用戶檢測(cè)方法

雖然手機(jī)惡意軟件的檢測(cè)是一項(xiàng)非常專業(yè)的技術(shù)工作，但是作為普通的智能終端用戶，通過觀察手機(jī)運(yùn)行狀況也能夠大致判斷手機(jī)是否感染惡意軟件。

（1）在手機(jī)任務(wù)管理器中查看手機(jī)到底運(yùn)行了哪些軟件，根據(jù)軟件的運(yùn)行情況初步識(shí)別惡意軟件；

（2）打開手機(jī)流量監(jiān)控，查看哪些軟件消耗的流量特別多，對(duì)于自己沒有安裝且流量消耗高的軟件，則需認(rèn)真辨別是不是惡意軟件；

（3）查詢電話賬單，查看每個(gè)月通信消費(fèi)的詳細(xì)情況，從中判斷自己是否有被惡意扣費(fèi)；

（4）借助第三方軟件，如360手機(jī)衛(wèi)士等，對(duì)手機(jī)的自啟動(dòng)應(yīng)用、授權(quán)root應(yīng)用等進(jìn)行全面檢查，進(jìn)一步判斷手機(jī)中是否有惡意軟件。

避免感染惡意程序的建議

惡意軟件在智能手機(jī)的生產(chǎn)、銷售、使用等過程的任一環(huán)節(jié)都可能被植入安裝，因此，智能手機(jī)用戶應(yīng)警惕這些惡意軟件的傳播渠道，養(yǎng)成良好的手機(jī)使用習(xí)慣，是能夠做到遠(yuǎn)離手機(jī)惡意軟件的，為此提出以下建議供參考：

（1）普及智能手機(jī)安全常識(shí)，注意保護(hù)個(gè)人隱私；

（2）不要購買水貨和無入網(wǎng)許可的手機(jī)；

（3）不要隨意點(diǎn)擊短信、彩信中鏈接；

（4）不要輕易掃描陌生的二維碼；

（5）不要在公共場(chǎng)所使用缺乏信譽(yù)度的免費(fèi)WIFI；

（6）不要接受陌生藍(lán)牙、紅外等無線連接請(qǐng)求；[1]

(7)去官方手機(jī)應(yīng)用商店和知名手機(jī)軟件站點(diǎn)下載軟件；

(8)安裝專業(yè)的手機(jī)安全軟件，對(duì)手機(jī)進(jìn)行安全加固；

(9)經(jīng)常查看話費(fèi)清單，檢查流量有無異常。

結(jié)束語

移動(dòng)通信網(wǎng)絡(luò)進(jìn)入4G時(shí)代，智能手機(jī)正在快速取代傳統(tǒng)手機(jī)，隨著手機(jī)各種應(yīng)用的普及，手機(jī)惡意軟件也朝著多樣化、隱蔽性方向發(fā)展，手機(jī)惡意軟件的表現(xiàn)與電腦病毒木馬的表現(xiàn)也越來越相似。[1]由于智能手機(jī)不可避免的將存儲(chǔ)越來越多的商業(yè)秘密和個(gè)人隱私等敏感信息，也將面臨更大的安全威脅。作為普通智能手機(jī)用戶必須要了解一定的惡意軟件甄別方法，同時(shí)養(yǎng)成良好的手機(jī)使用習(xí)慣，避免或減少自身的損失和危害。

[1] 金山手機(jī)安全中心, 中國(guó)手機(jī)惡意軟件分析報(bào)告, 2011.03

[2] 童振飛,楊庚. Android平臺(tái)惡意軟件的靜態(tài)行為檢測(cè). 江蘇通信, 2011.02