劉苑明（中國移動通信集團廣東有限公司中山分公司，中山 528400）

?

淺析移動終端的安全風(fēng)險及防護建議

劉苑明
（中國移動通信集團廣東有限公司中山分公司，中山 528400）

摘要隨著智能終端和移動通信技術(shù)的飛速發(fā)展，購物、支付、理財產(chǎn)品等金融業(yè)務(wù)層出不窮，移動終端的安全性成為了安全攻擊的目標(biāo)也是社會熱點問題。本文對移動終端進行了風(fēng)險分析，輔以使用Kali Linux系統(tǒng)攻擊同一個Wi-Fi局域網(wǎng)內(nèi)的安卓手機作為案例加以說明，并提出了安全防護建議。

關(guān)鍵詞智能終端；安全風(fēng)險；滲透入侵；安全防護建議

1　移動終端的安全風(fēng)險分析

根據(jù)i R esearch艾瑞咨詢的統(tǒng)計數(shù)據(jù)顯示，2012年中國第三方支付行業(yè)移動支付業(yè)務(wù)交易規(guī)模達(dá)1511.4億元，同比增長89.2%。2013年第三方移動支付市場交易突破萬億，規(guī)模達(dá)12 197.4億，同比增速707.0%。2014前兩個季度的中國第三方移動支付市場交易規(guī)模已增至29 163.4億元。由數(shù)據(jù)顯示，移動第三方支付規(guī)模呈快速增長趨勢。然而，人們在享受移動網(wǎng)絡(luò)帶來的巨大便利的同時，卻忽略了一個嚴(yán)重的問題，信息安全威脅隨著移動網(wǎng)絡(luò)參與度的提升而增加。目前對用戶信息安全造成的威脅主要有以下幾點。

1.1移動終端操作系統(tǒng)安全隱患

目前的智能手機操作系統(tǒng)主要有Android、iOS、BlackBerryOS、WindowsMobile、Linux等。其中Android和iOS兩大系統(tǒng)的智能手機市場占有率則逼近100%，達(dá)到了91.1%。市場占有率居前三的系統(tǒng)全部為外國研制，被國外所壟斷，其所有公司對于用戶信息安全的保護又缺乏監(jiān)管。2013年6月前中情局(CIA)職員愛德華?斯諾登曝光美國國家安全局的“棱鏡”項目，將包括谷歌微軟在內(nèi)的互聯(lián)網(wǎng)公司推上了風(fēng)口浪尖，讓我們對于智能手機操作系統(tǒng)的安全性產(chǎn)生了質(zhì)疑，操作系統(tǒng)公司是否對用戶的信息進行監(jiān)聽，是否有以盜用客戶信息安全牟利的行為發(fā)生。此外，由于除蘋果以外的智能手機的操作系統(tǒng)是開放式的，手機的源代碼是對外開放的，如開放源代碼的Android操作系統(tǒng)，程序人員可以通過逆向工程對系統(tǒng)進行深度的分析，進而發(fā)現(xiàn)潛在的漏洞。而且Android系統(tǒng)采取免費、開源的市場策略，給病毒的制造者提供了方便。很多網(wǎng)站、論壇都有免費的源代碼共享，有一定編程基礎(chǔ)的編程學(xué)習(xí)者拿到這樣的源碼之后，就可以簡單地制作出病毒，缺乏相應(yīng)的安全保障。

1.2移動終端軟件安全隱患

惡意軟件是故意在計算機系統(tǒng)上執(zhí)行惡意任務(wù)的病毒、蠕蟲和特魯伊木馬的總稱，在PC電腦中已經(jīng)存在了很多年，也有相對比較完善的殺毒軟件和漏洞掃描軟件做保護。隨著智能手機的巨大市場被開發(fā)，大量開發(fā)者轉(zhuǎn)為開發(fā)手機APP。在巨大的利益驅(qū)使下，智能手機和APP就成了惡意軟件和黑客的攻擊目標(biāo)。信息竊取型惡意軟件會暗中竊取用戶的照片、短信通信錄等信息進行倒賣從而牟利；通信吸費型惡意軟件會把惡意扣費代碼嵌入進APP中使用戶不知不覺中產(chǎn)生了資費，從而牟利。2015年8月14日百度手機衛(wèi)士發(fā)布了《2015年上半年中國互聯(lián)網(wǎng)移動安全報告》，報告以百度大數(shù)據(jù)為基礎(chǔ)，針對手機病毒、盜版應(yīng)用、垃圾短信、騷擾電話、移動支付、應(yīng)用漏洞6大移動安全問題做了系統(tǒng)專業(yè)的調(diào)研和分析。報告顯示，2015年上半年手機病毒出現(xiàn)爆發(fā)式增長，病毒軟件新增數(shù)量達(dá)到127.31萬個，環(huán)比增長240%。新增病毒類型以惡意扣費、隱私竊取、資費消耗、流氓行為4類為主，其中惡意扣費類病毒占比超過43.1%。由于安卓系統(tǒng)底層技術(shù)平臺是開放的，盜版應(yīng)用便如雨后春筍般的冒出，這些盜版應(yīng)用會造成流量消耗、隱私泄露、惡意扣費、遠(yuǎn)程控制、購物欺詐等危害。

1.3移動終端支付安全風(fēng)險

移動支付安全的風(fēng)險主要來自惡意山寨應(yīng)用、不明Wi-Fi網(wǎng)絡(luò)環(huán)境、支付應(yīng)用自身漏洞、驗證短信不安全4大方面。

目前的移動終端支付從場景上主要有遠(yuǎn)程支付和近場支付兩種，遠(yuǎn)程支付指的是消費者通過移動終端(手機、平板等設(shè)備)及移動支付設(shè)備(包括刷卡器、金融SD卡以及快捷支付如支付寶等)發(fā)起的支付，主要通過短信、WAP和手機客戶端；近場支付是指消費者先將金融錢包下發(fā)到自己的移動終端上，用終端作為載體在近場支付的POS機上完成的支付。目前支付手段的安全隱患是加密問題和即時性問題。雖然WAP功能的手機支付時，能夠采用移動網(wǎng)絡(luò)的加密技術(shù)，相對而言，并不能很有效地保證安全，如果引入短信動態(tài)密碼的方式，采用銀行卡與手極號綁定模式，受手機卡技術(shù)的限制，所發(fā)送的信息為明碼，短消息通過公網(wǎng)傳輸，沒有加密功能。如果引入軟件令牌形式的動態(tài)密碼具有生命周期，在傳輸線路上存在被截獲的可能。

1.4移動終端丟失安全隱患

目前，手機的普及率非常高，但是日常生活中經(jīng)常出現(xiàn)頻繁丟失的情況，為此造成的信息泄露屢見不鮮，照片、通信錄、都有可能被落入他人手中，個人隱私受到了極大的威脅。隨著移動終端功能的不斷發(fā)展，智能手機上的電商軟件越來越多，其中不少軟件都提供手機綁定，記住密碼，甚至有些軟件和網(wǎng)站提供手機修改密碼，這給了不法分子可乘之機，給人們的財產(chǎn)安全造成了極大的威脅。

1.5免費Wi-Fi熱點帶來的安全隱患

目前對于普通用戶而言，網(wǎng)絡(luò)信息安全還表現(xiàn)在公共無線網(wǎng)絡(luò)的安全威脅。自2004年起，Wi-Fi開始廣泛應(yīng)用在機場、商場、酒店、學(xué)校等公共場所，這給人們上網(wǎng)帶來了極大的便利，當(dāng)人們身處這些公共場所時，打開手機自然會搜到這種免費的Wi-Fi信號。同樣，在進行移動支付時，在付費的數(shù)據(jù)流量和免費又快捷的Wi-Fi之間選擇，人們通常會選擇后者。然而，Wi-Fi可以自設(shè)名稱等特征，給黑客留下了可乘之機。而一般用戶在支付過程中涉及到的支付賬號和密碼、購買物品的相關(guān)信息，當(dāng)這些信息泄露出去，后果不堪設(shè)想。

2　案例：網(wǎng)絡(luò)滲透入侵Wi-Fi局域網(wǎng)內(nèi)的安卓手機

2.1入侵前準(zhǔn)備

本次案例使用kali Linux系統(tǒng)里面自帶的工具，入侵同一Wi-Fi局域網(wǎng)中的安卓手機。

第一步進入Wi-Fi網(wǎng)絡(luò)進行目標(biāo)的收集。暴力破解Wi-Fi密碼只要使用fern Wi-Fi Cracker工具可以圖形化界面直接破解密碼進入Wi-Fi網(wǎng)絡(luò)，如圖1為軟件截圖。

2.2目標(biāo)范圍規(guī)定和信息收集

圖1　fern WIFI Cracker軟件樣例圖

進入Wi-Fi網(wǎng)絡(luò)之后，用軟件Armitage對網(wǎng)絡(luò)進行嗅探，確定本局域網(wǎng)內(nèi)可以到達(dá)的設(shè)備。

如圖2中，可以看到局域網(wǎng)內(nèi)可以找到4臺相關(guān)設(shè)備，一臺蘋果手機，一臺安卓手機，一臺Linux電腦，一臺Win7電腦。

圖2　Armitage嗅探樣例圖

通過Armitage對每臺設(shè)備進行詳細(xì)的掃描，確定是否能夠存在漏洞。由于實驗需要，專門找了臺舊的三星9100為目標(biāo)，其系統(tǒng)為安卓手機。

2.3滲透入侵

使用Metasploit使用后門進行滲透，生成apk木馬文件。開始入侵；同時將apk文件發(fā)送到目標(biāo)主機安裝并運行，從如圖3上面的系統(tǒng)運行界面可以看到滲透已經(jīng)成功，能夠獲取目標(biāo)手機的操作系統(tǒng)信息。

圖3　入侵案例圖

2.4持續(xù)控制

在對手機進行滲透入侵后，可以直接查看現(xiàn)在能夠進行的操作，從操作選項中就可以看到，入侵者能夠?qū)κ謾C的系統(tǒng)、通話記錄、通信錄、攝像頭等進行控制。

由上述案例可以非常清晰的看到免費Wi-Fi中的潛在安全風(fēng)險，任何使用免費Wi-Fi的人員都應(yīng)該對其安全風(fēng)險有所了解。

3　智能終端使用的安全保護措施建議

作為消費者，在使用智能終端時，要有信息安全防范的意識，要注重增強安全意識，自覺防范電子商務(wù)風(fēng)險。

3.1盡量選用具有自主操作系統(tǒng)、安全芯片等智能終端

從2013年國家提出智能終端信息安全研究開始，國家項目一直加大對國內(nèi)操作系統(tǒng)和安全芯片的開發(fā)，截止至2015年11月華為公司和中興公司都基于安卓底層開放了自有的操作系統(tǒng)，其內(nèi)核已經(jīng)與基本安卓系統(tǒng)區(qū)別較大，減少了國內(nèi)智能終端對國外操作系統(tǒng)的依賴程度。

另外一方面，華為、中興、聯(lián)想等國內(nèi)手機巨頭加大了與國家合作的智能終端安全硬件芯片的研究，對于移動智能終端的軟硬件技術(shù)、安全技術(shù)、系統(tǒng)軟件和應(yīng)用軟件安全漏洞后門分析及處置技術(shù)等都有了長足的進步。

消費者在進行智能終端的選擇時，建議盡量選用具有自主操作系統(tǒng)或安全芯片等技術(shù)的智能終端。

3.2下載軟件要選擇官方正規(guī)的渠道

智能手機的開源性較強，軟件非常多，魚龍混雜，消費者在選擇軟件下載時盡量要從官方渠道下載，不要從不可靠的第三方市場下載，也不要下載經(jīng)過修改過的破解版的軟件和游戲。目前大量的釣魚網(wǎng)站、盜號木馬和惡意軟件都是通過二維碼軟件的形式進行隱藏，在上述演示實驗中滲透入侵工具中就有一個簡單的選項完成把木馬文件內(nèi)嵌到二維碼中的操作，故建議不要輕易掃描二維碼進行軟件的下載和支付，給自己的移動終端一個良好的信息安全環(huán)境。

3.3防范軟件的訪問權(quán)限

現(xiàn)有的大量的殺毒軟件或防護軟件要求獲得用戶的ROOT權(quán)限，但作為一個普通的消費者，由于ROOT權(quán)限過大很容易導(dǎo)致信息安全的泄露，故安裝殺毒軟件首先建議不要對自己的智能終端進行ROOT、越獄等操作，從而減少安全隱患。

其次在安裝軟件的時候?qū)τ谀切┬枰L問通信錄、照片、文檔權(quán)限的軟件，要有警惕意識，了解相關(guān)信息，減少隱患。目前市場上針對智能手機的殺毒安全軟件日漸成熟，安裝一款殺毒軟件能讓智能手機中的病毒和惡意軟件無處藏身。

3.4養(yǎng)成良好的支付習(xí)慣

移動支付手段目前主要有遠(yuǎn)程支付和近場支付兩種，養(yǎng)成良好的支付習(xí)慣，是個人信息安全的保障。首先用戶在支付時盡量不要用商家提供的公共Wi-Fi，盡量使用已加密、比較安全的手機網(wǎng)絡(luò)進行支付交易；其次，在遠(yuǎn)程支付時，要核對商家信息，明確付款金額和條款，防止被詐騙。二維碼應(yīng)用越來越廣泛，多數(shù)二維碼掃碼工具并不具有識別惡意網(wǎng)址的能力，只是簡單將二維碼翻譯成網(wǎng)站地址，因此，在支付時加強對手機的管理，以免出現(xiàn)多付，重付的情況。

3.5時常備份手機資料

手機一旦丟失，手機里面的資料也會一起丟失，并有泄露的危險，目前云端技術(shù)發(fā)展日漸成熟，將手機里的信息備份到云端，能夠讓用戶在手機丟失后通過互聯(lián)網(wǎng)訪問云端，實現(xiàn)信息的找回。同時開啟手機的定位功能，通過手機的定位將手機找回，防止信息的進一步泄露。

4　總結(jié)展望

隨著移動智能終端技術(shù)的不斷發(fā)展，所應(yīng)用的領(lǐng)域也逐漸滲透到生活的方方面面。移動智能終端的安全管理將成為未來十年的信息安全發(fā)展的主要熱點。本文使用簡單易懂的網(wǎng)絡(luò)滲透工具進行測試實驗，從而顯示移動智能終端的使用安全風(fēng)險，并針對該安全風(fēng)險提出加強使用安全防范意識等安全建議。另外網(wǎng)絡(luò)運營商的安全技術(shù)升級和政府統(tǒng)一完善法律法規(guī)的建設(shè)也是未來保證移動終端安全使用的基礎(chǔ)，共同組成未來移動智能終端安全管理的三大方向。

參考文獻(xiàn)

[1]百度手機衛(wèi)士.2015年上半年中國互聯(lián)網(wǎng)移動安全報告[R].百度手機衛(wèi)士.2015-08-14.

[2]王菲飛.淺析智能手機惡意代碼的檢測與防護技術(shù)[J].保密科學(xué)技術(shù), 2012(04).

[3]劉彬彬, 李永忠, 舒俊.Android平臺下的病毒原理分析及其防御技術(shù)研究[J].電子設(shè)計工程, 2013(04).

[4]羅驍茜, 鄭浩彬.基于網(wǎng)絡(luò)數(shù)據(jù)的手機病毒主動監(jiān)測系統(tǒng)及應(yīng)用[J].電信工程技術(shù)與標(biāo)準(zhǔn)化, 2014(06).

Risk assessment and safety protection of smart mobilephone

LIU Yuan-ming
(China Mobile Group Guangdong Co., Ltd.Zhongshan Branch, Zhongshan 528400, China)

AbstractWith the development of mobile terminal technology and mobile communication technology, smart mobilephones are using in more and more aspect, including shopping, payment, fi nancial products and other fi nancial services, the security of smart mobilephoneshas become the focus of social security.In this paper, the risk assessment of smart mobilephones is carried out by using Linux Kali system for an example and put forward the suggestion of safty protection for smart mobilephones.

Keywordssmart mobilephone; security risk; infi ltration; safety protection suggestion

收稿日期：2015-12-08

中圖分類號TN929.5

文獻(xiàn)標(biāo)識碼A

文章編號1008-5599（2016）03-0063-04