李忠慧

摘 要： 普適計算主要指一種無處不在的計算，智能手機得益于其內(nèi)置的各種傳感器設備、多核處理器而成為普適計算系統(tǒng)的重要組成部分。智能手機的安全與否將直接影響到普適計算系統(tǒng)的安全。從Android操作系統(tǒng)安全漏洞和無線網(wǎng)連接方面對Android系統(tǒng)進行了安全分析；通過實驗證明了Android手機用戶如不加選擇地連接到偽裝的無線接入點，用戶和智能手機將處于危險之中，易受到中間人攻擊；并給出了針對上述情況的安全解決方案。

關鍵詞： 普適計算； Android系統(tǒng)； 安全漏洞； 中間人攻擊

中圖分類號：TP309 文獻標志碼：A 文章編號：1006-8228（2015）08-20-03

Research on function and security of smart phone in ubiquitous computing

Li Zhonghui

（Yancheng Teachers University， Yancheng， Jiangsu 224002， China）

Abstract： Ubiquitous computing mainly refers to a kind of computing been made to appear everywhere and anywhere. Smart phones have become an important part of the ubiquitous computing system due to their various sensor devices and multi core processor. The security of the smart phone will directly affect the safety of the ubiquitous computing system. The security of Android system is analyzed in this paper from the aspects of Android operating system security holes and wireless network connection. Through the experiment， it is proved that if the Android mobile phone user connects indiscriminately to the disguised wireless access point， the user and smart phone will be in danger， vulnerable to man-in-the-middle attack. The security solution is presented for the above situation.

Key words： ubiquitous computing； Android system； security hole； MITM

0 引言

普適計算又稱泛在計算，隨著計算機技術(shù)和傳感器技術(shù)的發(fā)展而不斷發(fā)展。隨著軟硬件技術(shù)的發(fā)展，智能手機取得了令人矚目的發(fā)展，它像筆記本電腦，具有獨立的操作系統(tǒng)，獨立的運行空間。用戶使用智能手機可以自行安裝軟件、游戲、導航等各種應用程序。在普適計算模式下，智能手機與環(huán)境的無縫集成，使之成為人類與普適計算系統(tǒng)之間的重要接口。智能手機的安全問題是普適計算安全問題的一個重要部分[1-2]。

智能手機操作系統(tǒng)略有不同，我們將專注于Android操作系統(tǒng)。Android操作系統(tǒng)自Google2007年11月發(fā)布以來，由于其開源性，擁有了龐大的用戶數(shù)，據(jù)市場分析機構(gòu)Strategy Analytics報告，2014年，Android操作系統(tǒng)的全球市場份額已達84.6%。而正是由于Android系統(tǒng)是開源系統(tǒng)，Android手機也成為黑客的攻擊目標。據(jù)360發(fā)布的《2014年中國手機安全狀況報告》稱，2014年惡意程序樣本較2013年增長近4倍，達326萬個之多，全年感染用戶達3.2億人次[3]。

目前，Android系統(tǒng)安全研究主要集中在內(nèi)核層安全、架構(gòu)層安全和用戶認證機制安全方面。本文提出，即使Android手機的操作系統(tǒng)是安全的，且手機中安裝的所有應用程序都是良性程序，也會因為手機用戶的安全意識薄弱，使用未知的wifi接入點讓自己深陷威脅之中。

1 普適計算系統(tǒng)與智能手機

1.1 普適計算概念

普適計算術(shù)語是1991年首次被Mark Weiser提出的，后被多個研究員和機構(gòu)重新定義。Friedemann Matter重新定義它為日常物品的綜合計算和互連。在普適計算系統(tǒng)中，人們周圍都是計算設備，人們可以隨時隨地利用這些設備訪問信息。普適計算主要指一種無處不在的計算。應用中的計算設備不是傳統(tǒng)“電腦”，而是嵌入微處理器的各種設備，如：手機、智能電飯煲、冰箱、電視等等。這些設備不僅具備計算能力，還具有通信能力。它們成為一個整體而互相協(xié)作。

1.2 普適計算的組成

與分布式計算不同，普適計算主要包括：上下文感知計算、環(huán)境和普適智能以及記錄、跟蹤與監(jiān)控，其中最重要的特征是上下文感知計算[4]。因為服務提供商希望普適計算可以在最適合的時刻給需要服務的人提供合適的服務，而無需用戶干預。為了提供這種服務，普適計算系統(tǒng)就必需具有理解關于用戶個人和環(huán)境的上下文信息的計算能力。為了收集上下文環(huán)境信息，在普適計算領域需要傳感器設備來收集信息并將收集的信息傳遞到基站，由基站完成上下文感知計算。上下文感知計算被用來推斷情況并決定下一步操作。這個過程是很重要的，因為如果推理結(jié)果與實際用戶的期望不匹配，那么普適計算將失去用戶的信任。

普適計算系統(tǒng)的核心需求與環(huán)境和無處不在的智能密切相關，因為普適計算需要精確的接口。例如，當用戶想要調(diào)節(jié)音頻的音量或改變電視頻道時，他需要精確的接口與普適計算系統(tǒng)通信。一般來說，語音識別和手勢識別技術(shù)在這一領域經(jīng)常使用；然而，出錯率仍然很高。因此，需要技術(shù)研究來提高其準確性。

普適計算系統(tǒng)需要記錄、跟蹤和監(jiān)控。根據(jù)這些需求開發(fā)通過傳感和提醒來輔助人類生活的應用。普適計算需要跟蹤與監(jiān)控上下文環(huán)境來獲得足夠的信息，因為上下文感知計算的傳感器設備向它定期報告?zhèn)€人和環(huán)境上下文信息。如果普適計算跟蹤并監(jiān)視弱勢群體，比如老年人、兒童、病人，普適計算就可以應對突發(fā)緊急情況。然而，普適計算系統(tǒng)也遇到一些問題。①很難記錄、跟蹤和監(jiān)視發(fā)生在普適計算中的所有交互，因為交互量大。普適計算由收集上下文信息的設備或等待用戶輸入的大量傳感器組成，因此，大量的交互發(fā)生在短時間內(nèi)。②記錄、跟蹤和監(jiān)控個人信息與保護個人信息是沖突的。用戶在體驗新科技給生活帶來便捷的同時，也深陷各類惡意軟件帶來的威脅之中。

1.3 智能手機在普適計算中的作用

智能手機的發(fā)展極大地改變了人們的生活方式。從早上叫醒服務到遠程控制汽車服務，智能手機為用戶提供各種各樣的服務。就像可穿戴設備，人們隨時隨地攜帶智能手機，利用智能手機接收和發(fā)送電子郵件、分享文件等。

智能手機有交互功能的各種接口，如相機、觸摸面板、陀螺儀和上下按鈕。各種技術(shù)已經(jīng)被用于人類和智能手機的設備之間交互。例如，智能手機通過識別用戶的眼睛，可以自動調(diào)整屏幕亮度， web瀏覽器的滾動可以通過傾斜裝置來控制。智能手機可以滿足普適計算的核心需求。智能手機可以在上下文感知計算中起部署的傳感器設備的角色，因為，智能手機可以收集上下文信息，并通過無線通信將收集的信息傳輸?shù)交?。而且，智能手機可以用于人類接口。使用通用的用戶身份模塊（USIM）信息，可以利用智能手機作為主人身份識別。所以，智能手機可以作為人類和普適計算系統(tǒng)之間的接口。

普適計算中的智能手機有許多資源，比如隱私信息（日程安排、聯(lián)系人等等），內(nèi)置的傳感器設備（如，GPS模塊、陀螺儀、加速器等等），以及用戶選擇安裝的普適計算應用程序。圖1說明了智能手機與普適計算系統(tǒng)之間的交互。

2 Android 安全機制分析

Android系統(tǒng)安全包括內(nèi)核層安全、架構(gòu)層安全和用戶認證機制安全三個方面[5]。然而，由于智能手機上的許多應用都需要聯(lián)網(wǎng)功能，一般通過使用移動網(wǎng)絡或無線網(wǎng)絡隨時來與互聯(lián)網(wǎng)連接，訪問存儲在設備或網(wǎng)絡上的用戶信息。盡管智能手機的功能有顯著增強，但是其安全技術(shù)仍低于人們的期望。

智能手機與普適系統(tǒng)的交互如圖1所示。

[傳感器：GPS][傳感器：陀螺儀][傳感器：加速器][用戶手勢][上下文信息][用戶信息][跟蹤信息][智能手機資源][普適計算的核心組件][普適計算

應用＼&] [敏感信息] [環(huán)境

普適計算][上下文

感知計算][記錄、跟蹤和監(jiān)視]

圖1 智能手機與普適系統(tǒng)的交互

2.1 Android操作系統(tǒng)安全漏洞

一般所有安裝在智能手機上的應用程序都運行在自己的沙箱里，沒有應用程序可以逃離這個沙箱。然而，這種強制限制削弱了智能手機應用程序的大部分功能。所以，Android平臺允許使用經(jīng)手機用戶授權(quán)的API。每個Android應用程序都有申請權(quán)限的詳細信息，包含在AndroidManifest.xml文件中，在安裝時向手機用戶請求批準[6，7]。這些權(quán)限自應用程序安裝后從不改變，直到應用程序重新安裝。在AdnroidManifest.xml文件中，需要為每個被調(diào)用的有風險的API分別定義權(quán)限。然而，只有當用戶應用程序調(diào)用有風險的API時，Android操作系統(tǒng)才開始檢驗權(quán)限是否授權(quán)。例如，某個應用程序申請了“INTERNET”權(quán)限，安裝時獲得了授權(quán)，但運行時并沒有調(diào)用相應的API，Android操作系統(tǒng)就不會檢查權(quán)限“INTERNET”是否授權(quán)。

Android操作系統(tǒng)的基于權(quán)限的安全模型有以下安全漏洞。①Android操作系統(tǒng)將安全責任留給普通用戶承擔，這是非常危險的。大多數(shù)用戶不理解應用程序申請的權(quán)限，不知道批準后帶來的風險。此外，手機用戶對應用程序申請的權(quán)限只有兩種選擇：授權(quán)或不授權(quán)。所以，用戶通?？摧p權(quán)限授權(quán)的過程。②Android系統(tǒng)基于權(quán)限的安全模型易受到特權(quán)提升的攻擊[8]。多個應用程序為了獲得他們的目的而共享信息。例如，惡意應用程序A有訪問內(nèi)部敏感數(shù)據(jù)的權(quán)限，如聯(lián)系人，但是它沒有通過因特網(wǎng)發(fā)送消息的權(quán)限。惡意應用程序B沒有訪問敏感內(nèi)部數(shù)據(jù)的權(quán)限，但是它有訪問因特網(wǎng)的權(quán)限。在這個情況下，惡意程序A通過內(nèi)部通信路徑將聯(lián)系人信息傳送給惡意應用程序B，惡意應用B通過網(wǎng)絡流出聯(lián)系人信息。③基于權(quán)限的安全模型只能覆蓋底層的和API調(diào)用相關的行為。如果Android應用程序應用層有缺陷，那么Android操作系統(tǒng)將不能保護它自己。

2.2 接入未知無線接入點的威脅

無線通信技術(shù)已成為連接智能設備的最重要的通信手段。無線通信的發(fā)展有助于實現(xiàn)普適計算。然而，在無線通信迅速增長的情況下，也存在著安全威脅。

無線接入點（Access Point，AP）是一個無線網(wǎng)絡的接入點，俗稱“熱點”。我們周圍有許多無線AP，數(shù)量超過實際需求。事實上，我們手機搜索到的所有AP并不一定都是良性的。如不加選擇地嘗試連接到未知AP，會使人與設備處于危險之中。

一般來說，智能手機用戶希望其智能機總是連接到互聯(lián)網(wǎng)，因為安裝在智能手機的應用程序通常需要互聯(lián)網(wǎng)連接上傳或下載實時信息。因此，智能手機用戶經(jīng)常搜索開放的無線網(wǎng)絡。在有線網(wǎng)絡中，MITM攻擊（Man-in-the-Middle Attack，中間人攻擊，簡稱“MITM攻擊”）是非常困難的。因為，一個對手物理地闖入一個終端用戶和ISP之間，這是很困難的。然而，在無線網(wǎng)絡中，一個對手可以很容易地闖入一個終端用戶和ISP之間，因為無線網(wǎng)絡中消息的傳輸是在空氣中進行。因此，無線網(wǎng)絡比有線網(wǎng)絡更加脆弱。如果對手安裝開放的AP，他可以很容易地獲得智能手機的連接。為了實施MITM攻擊，安裝開放AP的方式主要有兩種類型。第一種是對手在公共場所安裝偽裝的AP，如機場、銀行、商場。在這些地方，對手很容易找到攻擊目標，因為當人們在一個地方呆很長時間時，使用智能手機的概率會增加。第二種是使用偽裝的AP。偽裝的AP安裝在對應良性AP范圍以外，并偽裝成這個良性AP。由于偽裝AP使用良性AP的SSID（Service Set Identifier，服務集標識），所以終端用戶很容易受騙。

為了驗證上述情況，我們進行了實驗。實驗設備包括一個Android 手機、一臺筆記本電腦和一個服務器。筆記本電腦用作偽裝的AP，服務器作為DNS欺騙服務器和Web代理服務器，用來發(fā)起MITM攻擊。通常一個含有廣告的應用程序會與多個服務器通信。第一個是數(shù)據(jù)服務器，數(shù)據(jù)服務器檢查應用程序用戶身份、應用程序版本、完整性等。如果應用程序無法測試通過，這個應用將立即終止。第二個服務器是廣告服務器，這是一個可選對象。廣告服務器提供事件通知的html文件和圖像文件，通過HTTP的商業(yè)廣告。廣告服務器的連接不影響啟動的程序，不同于數(shù)據(jù)服務器的連接。實驗中發(fā)起MITM攻擊的冒充為廣告服務器。

智能手機用戶需要更多地關注這類未知AP，因為智能手機已成為用戶的信息安全的關鍵點。一般來說，所有的信息都包含在他的智能手機里，從隱私照片到業(yè)務文檔。因此，如果智能手機內(nèi)的信息被對手破壞，那么用戶將在社會或經(jīng)濟上遭受不可挽回的損失。

3 安全解決方案

在第2節(jié)對Android安全機制分析的基礎上，從Android操作系統(tǒng)和網(wǎng)絡兩個方面給出安全解決方案。

在Android操作系統(tǒng)方面，Android安全機制主要有簽名機制、權(quán)限機制和沙盒機制來保證Android系統(tǒng)安全。細化權(quán)限[9]、安裝時讓用戶可以選擇性授權(quán)、API安全實現(xiàn)和規(guī)范的使用都是保證Android安全的極為重要手段。

在網(wǎng)絡方面，針對MITM攻擊，以下措施是非常必要的：①智能手機用戶避免連接到未知的AP；②注意彈出式廣告，即使它是知名的應用程序的彈出消息；③應用程序開發(fā)人員避免使用脆弱的API；④阻止嵌入式鏈接的執(zhí)行；⑤當應用程序與外部設備通信時，必須使用相互身份驗證過程和安全協(xié)議，如SSL。這些措施可以大大減少MITM攻擊的威脅。

4 結(jié)束語

智能手機是普適計算系統(tǒng)中的重要組成部分，滿足普適計算的核心需求：上下文感知計算、環(huán)境和普適智能以及記錄、跟蹤和監(jiān)測環(huán)境。然而，智能手機的增長足以吸引對手的注意。Android系統(tǒng)平臺的安全模型也存在著安全漏洞：①Android操作系統(tǒng)將安全的重大責任留給無知的用戶應對；②基于權(quán)限的安全模型易受到特權(quán)升級的攻擊；③基于權(quán)限的安全模型不能覆蓋應用程序級別的漏洞。即使是良性的應用程序，若連接到偽裝的AP上，也會使手機用戶陷入危險之中。為了減輕這MITM攻擊，開發(fā)人員必須使用相互身份驗證使應用程序與外部設備通信，禁止嵌入式鏈接的執(zhí)行。在未來的工作中，還將繼續(xù)研究發(fā)現(xiàn)智能手機平臺的脆弱性，找到針對這些威脅的解決方案。

參考文獻：

[1] 李世群.普適計算中的安全問題研究[D].上海交通大學，2007.

[2] 楊帆.普適計算安全協(xié)議的模塊設計及CSP分析[D].東華大學，

2008.

[3] 360互聯(lián)網(wǎng)安全中心.2014年中國手機安全狀況報告[Z].奇虎360，

2015.

[4] 吳懷廣，姬厚靈，毋國慶等.普適環(huán)境中上下文感知的帶演算的

Bigraphs描述[J].計算機科學，2012.39（1）：109-114

[5] 張玉清，王凱，楊歡等.Android 安全綜述[J].計算機研究與發(fā)展，

2014.51（7）：1385-1396

[6] 沈晨，張凱，呂偉鵬等.基于Android平臺的課程學習系統(tǒng)的設計與實

現(xiàn)[J].重慶工商大學學報（自然科學版），2014.31（1）：56-60

[7] 肖遠東.基于Android平臺的智能操控終端的設計與實現(xiàn)[J].重慶工

商大學學報（自然科學版），2014.31（7）：70-76

[8] 方喆，劉奇旭，張玉清.Android應用軟件功能泄露漏洞挖掘工具的設

計與實現(xiàn)[J]中國科學院大學學報，2015.32（1）：127-135

[9] 張銳，楊吉云.基于權(quán)限相關性的Android惡意軟件檢測[J].計算機應

用，2014.34（5）：1322-1325