毛澤杰，吳蔚華

(國家廣播電視產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心，北京 100015)

Android智能機(jī)頂盒的安全分析與研究

毛澤杰，吳蔚華

(國家廣播電視產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心，北京 100015)

摘要:目前國內(nèi)大多數(shù)智能機(jī)頂盒采用Android系統(tǒng)。Android系統(tǒng)最大的特點(diǎn)是開放性，這使得Android智能機(jī)頂盒面臨嚴(yán)峻的安全形勢。為了保證Android智能機(jī)頂盒的安全性，首先給出了Android智能機(jī)頂盒的定義，概述了智能機(jī)頂盒的安全現(xiàn)狀，然后從整個產(chǎn)業(yè)鏈的角度對智能機(jī)頂盒的安全問題進(jìn)行了分類，詳細(xì)分析了智能機(jī)頂盒的安全威脅來源，最后詳細(xì)介紹了智能機(jī)頂盒的安全防護(hù)策略。

關(guān)鍵詞:智能機(jī)頂盒；信息安全；Android系統(tǒng)

隨著三網(wǎng)融合的不斷深入，彩電行業(yè)經(jīng)歷著巨大的變革。視頻編解碼技術(shù)的提升，顯示技術(shù)更新?lián)Q代，智能操作系統(tǒng)的普及，以及網(wǎng)絡(luò)帶寬的提升，電視已經(jīng)正式步入了高清化、智能化、網(wǎng)絡(luò)化時代。

智能機(jī)頂盒是智能電視的一種產(chǎn)品形態(tài)，由于價格低廉、功能豐富、使用方便，深受使用者的喜愛。目前，國內(nèi)的智能機(jī)頂盒基本都采用Android系統(tǒng)。Android智能機(jī)頂盒是指除具備傳統(tǒng)電視機(jī)頂盒功能外，搭載了高性能的處理芯片，配備了Android操作系統(tǒng)，擁有豐富的應(yīng)用軟件平臺和內(nèi)容平臺，并且可以自由安裝、卸載應(yīng)用軟件，可以對系統(tǒng)軟件進(jìn)行更新，滿足用戶個性化和多樣化需求的產(chǎn)品。

然而，由于Android系統(tǒng)的開放性，在給人們生活帶來娛樂與方便的同時，也將安全問題引入了電視領(lǐng)域，非法刷機(jī)、非法內(nèi)容播放、安裝非法應(yīng)用軟件、用戶數(shù)據(jù)的丟失和篡改等問題使得智能機(jī)頂盒的安全面臨著巨大的挑戰(zhàn)。

1智能機(jī)頂盒安全問題分析

智能機(jī)頂盒是一個龐大的產(chǎn)業(yè)，涉及到內(nèi)容、應(yīng)用、網(wǎng)絡(luò)運(yùn)營、終端等多個方面。分析與解決智能機(jī)頂盒的安全問題需要從智能機(jī)頂盒產(chǎn)業(yè)鏈的整體環(huán)境著手。

1.1智能機(jī)頂盒的產(chǎn)業(yè)鏈

智能機(jī)頂盒產(chǎn)業(yè)鏈?zhǔn)且粋€多元化的系統(tǒng)，本文從應(yīng)用和內(nèi)容的維度將智能機(jī)頂盒產(chǎn)業(yè)鏈分為應(yīng)用、內(nèi)容、網(wǎng)絡(luò)、終端4個部分(見圖1)。

圖1　智能機(jī)頂盒產(chǎn)業(yè)鏈

1.2智能機(jī)頂盒的安全分類

智能機(jī)頂盒安全威脅就是采用各種手段，試圖利用系統(tǒng)的弱點(diǎn)、缺陷或漏洞，使得信息的私密性、完整性和可用性遭到破壞，并對用戶甚至國家安全造成嚴(yán)重后果。智能機(jī)頂盒的主要安全威脅有以下幾種情況[1]：

1)通過應(yīng)用軟件非正當(dāng)渠道獲取非法內(nèi)容。

2)第三方應(yīng)用攜帶木馬病毒。

3)竊取用戶的個人信息。

4)遠(yuǎn)程操控智能機(jī)頂盒。

5)破壞智能機(jī)頂盒的軟件或硬件系統(tǒng)。

6)用戶私有數(shù)據(jù)的丟失。

通過分析上述安全威脅，本文將智能機(jī)頂盒的安全進(jìn)一步分類為第三方應(yīng)用軟件安全、內(nèi)容安全、網(wǎng)絡(luò)安全、終端安全。

1.2.1第三方應(yīng)用軟件安全

由于國內(nèi)智能機(jī)頂盒采用的Android系統(tǒng)是開源的，開放的API接口使得任何的開發(fā)者和企業(yè)都可以進(jìn)行第三方應(yīng)用的開發(fā)。有些開發(fā)者有目的性地引用一些木馬或者留有后門，還有些開發(fā)者水平有限，開發(fā)的應(yīng)用存在漏洞，被一些不法分子所利用。而各個應(yīng)用商店由于技術(shù)水平和監(jiān)管方式不盡一致，使得這些存在缺陷的應(yīng)用軟件進(jìn)入智能電視應(yīng)用商店。一旦用戶安裝并運(yùn)行這些應(yīng)用，用戶的個人信息、賬戶信息等隱私數(shù)據(jù)遭到嚴(yán)重威脅。

1.2.2內(nèi)容安全

智能機(jī)頂盒作為廣播電視播放的一種方式，搭載的內(nèi)容播控平臺必須經(jīng)過廣電總局批準(zhǔn)和認(rèn)可。目前廣電總局已經(jīng)批準(zhǔn)了七家內(nèi)容集成播控平臺和14家互聯(lián)網(wǎng)電視內(nèi)容平臺。但有些企業(yè)和互聯(lián)網(wǎng)站仍然將自己開發(fā)的內(nèi)容平臺通過應(yīng)用的方式向用戶提供服務(wù)，其中就有一些自定義頻道、翻墻和使用代理服務(wù)器的功能，使得境外和威脅國家安全言論的節(jié)目直接面向用戶。

1.2.3網(wǎng)絡(luò)接入安全

智能機(jī)頂盒一般都是通過路由器連接到互聯(lián)網(wǎng)，互聯(lián)網(wǎng)是開放的網(wǎng)絡(luò)，計算機(jī)網(wǎng)絡(luò)固有的缺陷會影響智能機(jī)頂盒安全。常見的有以下幾種：

WiFi網(wǎng)絡(luò)攻擊。WiFi是智能機(jī)頂盒常用網(wǎng)絡(luò)連接方式之一，而攻擊者可以利用無線網(wǎng)絡(luò)破解工具破解WiFi密碼從而連接到內(nèi)部網(wǎng)絡(luò)，通過掃描智能機(jī)頂盒獲取遠(yuǎn)程調(diào)試端口，從而通過該端口對智能機(jī)頂盒的系統(tǒng)進(jìn)行遠(yuǎn)程操作和控制。

ARP協(xié)議漏洞。攻擊者可以利用協(xié)議的漏洞，通過一些技術(shù)手段欺騙智能機(jī)頂盒、網(wǎng)關(guān)，從而對終端的數(shù)據(jù)進(jìn)行竊取，對用戶發(fā)送的數(shù)據(jù)進(jìn)行偵聽，使得用戶的信息安全遭到嚴(yán)重威脅。

1.2.4終端安全

智能機(jī)頂盒終端可以分成多個層次，具體可以分為硬件層、系統(tǒng)層、用戶數(shù)據(jù)層、應(yīng)用層，詳細(xì)的系統(tǒng)結(jié)構(gòu)如圖2所示。

圖2　智能機(jī)頂盒終端結(jié)構(gòu)圖

智能機(jī)頂盒終端的安全可以分為硬件安全、系統(tǒng)安全、外圍接口安全、用戶數(shù)據(jù)安全。

1)硬件安全主要包括了電視芯片和智能芯片的安全，芯片的調(diào)試端口很可能被攻擊者所利用，從而控制終端，攻擊者可以遠(yuǎn)程操控智能機(jī)頂盒進(jìn)行任何操作。

2)系統(tǒng)安全指的是保護(hù)系統(tǒng)的數(shù)據(jù)和信息，拒絕未授權(quán)用戶的訪問，拒絕未授權(quán)用戶對信息的修改，并有相應(yīng)的措施來檢測和屏蔽威脅，從而使系統(tǒng)達(dá)到最佳的安全程度。

3)外圍接口安全，智能機(jī)頂盒包含了多個外圍接口，常見的有HDMI、RJ-45、USB、音視頻接口、TF卡等接口，為用戶提供了多種外圍設(shè)備連接方式。用戶使用外部設(shè)備接口與智能機(jī)頂盒連接時，需要進(jìn)行提醒和確認(rèn)，同時防止外設(shè)中的病毒或木馬程序感染終端。

4)用戶數(shù)據(jù)安全包含以下3個方面：

(1)私密性是指只有被授權(quán)程序才能讀取或修改數(shù)據(jù)，未授權(quán)程序不能對數(shù)據(jù)進(jìn)行操作；

(2)完整性是指數(shù)據(jù)合法沒有被其他人篡改，所有的數(shù)據(jù)都是正確的狀態(tài)；

(3)可用性是指數(shù)據(jù)被請求訪問時，系統(tǒng)能夠按照預(yù)定的性能級別提供訪問服務(wù)。

2智能機(jī)頂盒安全防護(hù)策略

針對上述智能機(jī)頂盒的安全威脅，從應(yīng)用、內(nèi)容、網(wǎng)絡(luò)和終端4個方面，對上述威脅提出相應(yīng)的策略和解決方案。

2.1應(yīng)用軟件的安全性測試

Android系統(tǒng)的開放性，使得任何開發(fā)者都可以進(jìn)行應(yīng)用軟件的開發(fā)，并通過應(yīng)用商店面向用戶。為了保證用戶下載及使用應(yīng)用軟件的安全性，需要對應(yīng)用軟件進(jìn)行安全檢測與分析。應(yīng)用軟件安全檢測的方法有靜態(tài)分析法和動態(tài)運(yùn)行分析[2]。

1)靜態(tài)分析應(yīng)用軟件程序

靜態(tài)分析法是指通過分析應(yīng)用程序反匯編后程序代碼的語法、結(jié)構(gòu)、接口等來檢查應(yīng)用軟件惡意行為的方法。

Android應(yīng)用程序靜態(tài)分析常用的工具有IDAPro和Androguard。IDAPro可以用快速定位Android程序的關(guān)鍵代碼，Androguard工具包可以用來分析惡意軟件。

常采用兩種方法來靜態(tài)分析Android程序：分析反匯編的Dalvik字節(jié)碼和分析反匯編的Java源碼。

2)動態(tài)運(yùn)行分析

動態(tài)運(yùn)行分析是指在應(yīng)用軟件運(yùn)行時，對其運(yùn)行的狀態(tài)進(jìn)行監(jiān)控，獲取執(zhí)行跟蹤、時間分析以及測試覆蓋率等方面的信息，從而分析是否包含惡意代碼的行為特征。

動態(tài)檢測技術(shù)常采用狀態(tài)對比和行為跟蹤兩種方法。狀態(tài)對比是指采用對比方式對軟件行為進(jìn)行抽取分析，比較程序執(zhí)行前后的系統(tǒng)狀態(tài)。行為跟蹤是在軟件執(zhí)行過程中，通過捕獲軟件的操作來進(jìn)行軟件行為分析。

2.2內(nèi)容安全防護(hù)

當(dāng)前，內(nèi)容安全的主要問題是兩種：第一種是有些視頻類應(yīng)用軟件內(nèi)置了自定義、翻墻和代理服務(wù)器的功能。第二種是可以通過輸入IP地址，實(shí)現(xiàn)手機(jī)、PC機(jī)、智能機(jī)頂盒之間的內(nèi)容共享。針對這些問題，需要在技術(shù)上進(jìn)行屏蔽。有相關(guān)功能的應(yīng)用應(yīng)強(qiáng)制下架。

根據(jù)廣電總局181號文件的要求，互聯(lián)網(wǎng)電視內(nèi)容服務(wù)平臺只能接入廣電總局批準(zhǔn)設(shè)立的互聯(lián)網(wǎng)電視集成播控平臺。終端產(chǎn)品不得與其他訪問互聯(lián)網(wǎng)的通道，不得與網(wǎng)絡(luò)運(yùn)營企業(yè)的相關(guān)管理系統(tǒng)、數(shù)據(jù)庫進(jìn)行連接[3]。智能機(jī)頂盒終端產(chǎn)品只能綁定一家內(nèi)容集成播控平臺。只要各終端廠商嚴(yán)格執(zhí)行，內(nèi)容安全就可以得到保證。

2.3網(wǎng)絡(luò)安全

智能機(jī)頂盒網(wǎng)絡(luò)安全是計算機(jī)網(wǎng)絡(luò)固有的問題，在技術(shù)上需要對網(wǎng)絡(luò)協(xié)議進(jìn)行更新?lián)Q代或升級。同時用戶在使用智能機(jī)頂盒時需要提升自身的安全意識。應(yīng)用需要訪問用戶的信息、位置、通訊錄等信息時，要對訪問信息進(jìn)行核實(shí)。用戶可以根據(jù)需要安裝專業(yè)的安全軟件來維護(hù)智能機(jī)頂盒的安全。

2.4終端安全防護(hù)

智能機(jī)頂盒終端安全的防護(hù)包括硬件和軟件兩部分。有人提出了硬件安全防護(hù)從芯片層面來保證智能機(jī)頂盒設(shè)備終端的安全性方案[4]。此處從硬件安全威脅、Android系統(tǒng)的安全以及用戶數(shù)據(jù)安全方面來進(jìn)行分析。

1)硬件安全防護(hù)

智能機(jī)頂盒硬件平臺具有高性能、整體化、緊湊化設(shè)計等特點(diǎn)。

智能機(jī)頂盒硬件安全有直接硬件攻擊和軟件攻擊。硬件攻擊一般是芯片的調(diào)制端口被攻擊者所利用來控制終端，因此在產(chǎn)品出廠前調(diào)試端口應(yīng)該被禁止。軟件攻擊是智能機(jī)頂盒硬件平臺設(shè)計的特點(diǎn)，大部分是通過軟件大量頻繁地調(diào)用硬件設(shè)備，讓硬件設(shè)備超負(fù)荷運(yùn)作，使其壽命縮短。

2)Android系統(tǒng)安全

Android系統(tǒng)是基于Linux操作系統(tǒng)內(nèi)核開發(fā)出來的，Android的安全模型繼承了Linux內(nèi)核的安全機(jī)制，并在進(jìn)程管理、權(quán)限、進(jìn)程間通信、內(nèi)存管理、應(yīng)用程序簽名等方面都做了加強(qiáng)。Android系統(tǒng)的安全機(jī)制主要包括以下幾個方面：

(1)進(jìn)程沙箱

用戶標(biāo)識UID是給每個安裝在Android智能機(jī)頂盒中應(yīng)用程序分配的ID。UID與應(yīng)用程序一一對應(yīng)，UID在應(yīng)用程序存在設(shè)備期間，保持不變。UID的使用使得每個應(yīng)用程序都在應(yīng)該獨(dú)立的進(jìn)程空間運(yùn)行，與其他應(yīng)用程序在資源上形成隔離，從而形成了應(yīng)用程序的沙箱。被限制在“沙箱”中運(yùn)行的應(yīng)用程序之間互不干擾，把應(yīng)用程序之間、應(yīng)用程序與操作系統(tǒng)之間的損害降到最低。

(2)應(yīng)用權(quán)限

沙箱將互不信任的應(yīng)用程序進(jìn)行了隔離，而ShareUserID則提供了互相信任應(yīng)用程序之間的資源共享。在Android安全機(jī)制中，使用應(yīng)用權(quán)限機(jī)制決定應(yīng)用程序的API和系統(tǒng)資源是否允許訪問。權(quán)限為Android系統(tǒng)的安全提供了保障，也為用戶的某些特殊需求提供了實(shí)現(xiàn)基礎(chǔ)。

(3)進(jìn)程通信

進(jìn)程通信為了使得程序間進(jìn)行數(shù)據(jù)交換與服務(wù)而提供的一種機(jī)制。傳統(tǒng)的方式有管道、信號、信號量、共享內(nèi)存、消息隊列等。雖然Android系統(tǒng)使用Linux內(nèi)核，但在實(shí)際中Android是從組件的角度來實(shí)現(xiàn)通信的。

在系統(tǒng)安全方面，應(yīng)用程序是基于權(quán)限機(jī)制定義進(jìn)程通信的權(quán)限。 采用Binder進(jìn)程間通信機(jī)制在類型安全上有優(yōu)勢。Binder是通過共享內(nèi)存機(jī)制(Ashmem)實(shí)現(xiàn)進(jìn)程通信，效率更高。

(4)內(nèi)存管理

Android的內(nèi)存管理機(jī)制有Ashmem匿名共享內(nèi)存和LMK兩種機(jī)制。

Ashmem機(jī)制是基于Linux內(nèi)核的共享內(nèi)存，但是Ashmem與cacheshrinker關(guān)聯(lián)起來，增加了內(nèi)存回收算法的注冊接口，因此Linux內(nèi)存管理系統(tǒng)將不再使用內(nèi)存區(qū)域加以回收[5]。

LMK機(jī)制是在同時運(yùn)行多個應(yīng)用程序時，退出一個程序并不會立刻殺死它，而是將它先主流在內(nèi)存中，縮短下次運(yùn)行時的啟動時間。

(5)應(yīng)用程序簽名

開發(fā)者開發(fā)每一款應(yīng)用程序時，都需要使用密鑰文件對其進(jìn)行數(shù)字簽名，是開發(fā)者的一種有效身份標(biāo)識。如果軟件運(yùn)行時的簽名與發(fā)布者不一致，說明應(yīng)用程序被篡改了。當(dāng)應(yīng)用程序升級時，發(fā)現(xiàn)升級應(yīng)用與原始應(yīng)用的簽名不一致，則將其作為一個新應(yīng)用程序安裝。應(yīng)用簽名還可以用來在相同簽名的應(yīng)用程序間建立共享資源關(guān)系。

3)用戶數(shù)據(jù)安全

為了防止用戶數(shù)據(jù)在用戶未授權(quán)時，被其他人利用，造成用戶私有數(shù)據(jù)和信息的泄露，可以采用權(quán)限控制的方法。通常的權(quán)限控制是指軟件系統(tǒng)的權(quán)限控制，還可以采用硬件的權(quán)限控制方式，直接在硬件層面劃分權(quán)限，可以達(dá)到權(quán)限控制的目的。針對傳輸數(shù)據(jù)被惡意篡改的現(xiàn)象，可以對文件進(jìn)行加密保護(hù)，保證傳輸過程中數(shù)據(jù)的完整性。對于用戶數(shù)據(jù)可能被刪除的情況，可以采取對用戶數(shù)據(jù)進(jìn)行自動備份的機(jī)制。

3結(jié)束語

Android智能機(jī)頂盒的安全問題與整個產(chǎn)業(yè)鏈有著密切的聯(lián)系，雖然在內(nèi)容、應(yīng)用、網(wǎng)絡(luò)和終端上都有相應(yīng)的安全措施，但這還遠(yuǎn)遠(yuǎn)不能滿足要求。智能機(jī)頂盒的安全是一個長期性的問題，主要源于應(yīng)用軟件安全、網(wǎng)絡(luò)安全和智能機(jī)頂盒終端安全的場景在不斷變化。智能機(jī)頂盒的信息安全僅僅通過技術(shù)的防御和加強(qiáng)是無法從根源上解決的，還必須配合政策和管理。智能機(jī)頂盒的使用用戶也需要不斷加強(qiáng)安全意識，對應(yīng)用軟件的訪問要嚴(yán)控，并及時對系統(tǒng)進(jìn)行更新。

參考文獻(xiàn)：

[1]宋杰，黨李成，郭振朝，等.AndroidOS手機(jī)平臺的安全機(jī)制分析和應(yīng)用研究[J].計算機(jī)技術(shù)與發(fā)展，2010(6)：152-155.

[2]童振飛，楊庚.Android平臺惡意軟件的靜態(tài)行為檢測[J].江蘇通信，2011(1)：39-42.

[3]廣電總局.廣電總局辦公廳關(guān)于印發(fā)《持有互聯(lián)網(wǎng)電視拍照機(jī)構(gòu)運(yùn)營管理要求》的通知(廣辦發(fā)網(wǎng)字[2011]181號)[EB/OL].[2015-08-08].http://www.360doc.com/content/13/1128/09/1841814_332745411.shtml.

[4]胡冰松，黃小桑. 一種安全的智能機(jī)頂盒實(shí)現(xiàn)方案[J].電信科學(xué)，2013(4)：33-36.

[5]吳倩，趙晨嘯，郭瑩.Android安全機(jī)制解析與應(yīng)用實(shí)踐[M].北京：機(jī)械工業(yè)出版社，2013.

責(zé)任編輯：許盈

SecurityanalysisandresearchofAndroidsmartset-topbox

MAOZejie,WUWeihua

(National Testing and Inspection Center for Radio and TV Products, Beijing 100015，China)

Abstract:At present, most of the smart set-top boxes use Android system. The greatest character of Android is open, which makes the Android smart set-top box facing with security threat. In order to protect the Android smart set-top box, firstly, the definition of Android smart set-top box is present, and the present status of safety of the smart set-top box is summarized. Secondly, from the angle of the whole industrial chain, the classification of the smart set-top box security is carried on, the source of security threat is analyzed in detail. Finally, the security protection strategy of the smart set-top box is introduced.

Key words:smart STB; information security; Android OS

中圖分類號:TN949

文獻(xiàn)標(biāo)志碼:A

DOI：10.16280/j.videoe.2016.03.017

收稿日期：2015-10-26

文獻(xiàn)引用格式：毛澤杰，吳蔚華.Android智能機(jī)頂盒的安全分析與研究[J].電視技術(shù)，2016，40(3)：79-82.

MAOZJ,WUWH.SecurityanalysisandresearchofAndroidsmartset-topbox[J].Videoengineering，2016，40(3)：79-82.