作者:李兴新 侯玉华 周晓龙 郭晓花 严斌峰等
出版社:人民邮电出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
移动互联网时代的智能终端安全试读:
前言
近几年,互联网技术快速发展,在国家大力实施创新驱动发展、“互联网+”、宽带中国及大众创业、万众创新战略下,中国互联网尤其是移动互联网发展迅猛。根据中国互联网络信息中心(CNNIC)发布的第37 次《中国互联网络发展状况统计报告》统计,截至2015年12月,中国网民规模已达6.88亿,互联网普及率达50.3%,半数中国人已接入互联网,同时,网民的上网设备正在向手机端集中,智能手机成为拉动网民规模增长的主要因素,同期我国手机网民规模达6.20亿,有 90.1%的网民通过手机上网。移动通信技术的发展、网络环境的日益完善和智能终端的进一步普及、网民数量的激增和旺盛的市场需求共同推动了移动互联网领域更广泛的应用发展热潮,移动互联网正在塑造全新的社会生活形态,基础应用、商务交易、网络金融、网络娱乐、公共服务等个人应用日益丰富。2015年,手机网上支付用户规模达到3.58亿,增长率为64.5%,使用手机网上支付的网民比例由2014年年底的39.0%提升至57.7%;通过互联网实现在线教育的用户规模达 1.10 亿;使用网络医疗的用户规模达 1.52 亿;使用网络约车的用户规模已达1.18亿。移动互联网由于其普惠、便捷、共享等特性,已经渗透到公共服务、企业经营和个人生活的各个领域,改变了人们的工作、学习和生活方式。智能终端作为移动互联网的入口,是移动互联网的基础组成部分,智能终端的发展是推动移动互联网发展的核心力量。
在移动互联网时代,终端安全形势也有了非常明显的变化。由于基础硬件平台的开放性、操作系统的智能化、移动互联网应用的不可控传播等使智能终端安全状况变得更复杂,也使整个移动互联网产业的安全风险不断增加。斯诺登“棱镜门事件”,曝光了美国政府的监控活动引发了全球对网络安全和个人隐私的担忧;Android、iOS等操作系统存在诸多安全漏洞和隐藏后门,也严重威胁了用户个人隐私、商业机密、财富以及国家安全。政府、命脉行业以及商务人士对智能终端的安全需求日益增加。
国家和政府非常重视网络信息安全问题。2014年2月27日,中央网络安全和信息化领导小组成立,统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题,研究制定网络安全和信息化发展战略、宏观规划和重大政策,推动国家网络安全和信息化法治建设,不断增强安全保障能力。智能终端安全作为网络信息安全的组成部分,将是移动互联网产业发展中不可回避的重要挑战。
本书以此为背景,从智能终端面临的安全威胁和安全需求说起,分层次地归纳了智能终端面临的安全威胁和安全需求,并分别讲述了终端硬件、系统内核、国产智能终端操作系统、应用和应用商店等各个层面的安全技术和实施策略,最后从终端、终端产品、云端、标准化工作等层面总结并提出终端信息安全解决参考方案。本书内容涉及终端信息安全的各个方面,可以为终端安全产品规划部署提供有益参考,对构建完善的终端安全体系具有重要意义。
全书共分为7章。第1章介绍了移动互联网和智能终端的发展历程,引出智能终端信息安全概念;第2章介绍了移动互联网背景下智能终端信息的安全威胁和安全需求,终端安全是分层面的系统化需求,在后续第3~6章分别分析了各层面对应的安全技术;第3章介绍了终端硬件安全技术,重点介绍了主芯片、加密芯片、其他专用安全芯片等,提出终端硬件安全参考架构;第4章介绍了内核安全策略,主要是市场广泛使用的SELinux安全策略;第5章介绍了主流国产智能终端操作系统,包括沃Phone OS、阿里YunOS等;第6章介绍了应用商店的安全分发机制和终端应用运行安全管理机制;第7章讨论了终端信息安全解决方案,包含公众用户、政企移动办公用户、高安全的终端安全解决方案,以及终端安全产品设计、云端安全管理方案等,并简单介绍了智能终端安全标准化研究工作。
本书适合于安全行业人员、运营商及通信业内人士,以及希望了解更多终端信息安全知识的从业者参考阅读。
本书在编撰过程中注重内容的完整性、通俗性和实用性。
完整性:本书涵盖了从硬件到软件、终端到云端的智能终端信息安全的各个层面,对相关核心技术、应用案例等方面都有论述。
通俗性:本书介绍了终端安全的基本知识,涵盖了终端安全的各个层面,相关技术介绍深入浅出,便于读者直观清晰地理解。
实用性:本书紧密结合实际,对终端信息安全的背景、需求、技术、部署和应用等各方面进行了分析和论述。
本书由中国联通研究院丛书委员会策划,李兴新统稿。第1章由侯玉华、严斌峰编写;第2章由郭晓花、齐霄、李兴新编写;第3章由邸青玥、旷炜、周晓龙编写;第4章由郭晓花、李兴新编写;第5章由吕文琪、周晓龙、李兴新编写;第6章由李兴新、旷炜编写;第7章由李兴新、邸青玥、周晓龙编写。
参加研究和写作的成员还有:张成岩、刘馨靖、张云勇、魏亚杰、姜琳、赵慧、陈冰。
本书凝聚了作者长期的智能终端安全实践经验以及研究思考的成果。作者广泛收集了国内外相关材料,参考了一些安全论著,并结合了终端产业的最新发展情况,部分相关材料在本书编写过程中有引用,在此表示感谢。人民邮电出版社的邢建春编辑、研究院信息室范云杰编辑为此书倾注了大量心血,在此致以诚挚的谢意。
本书受国家“核心电子器件、高端通用芯片及基础软件产品”(核高基)科技重大专项课题“移动智能终端操作系统开发2012ZX01039002-003”基金资助。
本书是作者的积极探索和思考的成果,仅代表个人观点,与任何机构的立场无关。我们希望通过大家的共同努力,理清智能终端安全的发展思路,在移动互联网大环境中创造安全可靠的终端应用环境,为网络信息安全创新发展贡献一份力量。由于信息安全概念外延广阔,作者水平有限,加之时间仓促,书中难免有错误或不当之处,恳请广大专家学者不吝批评指教。作者2016年3月于北京第1章绪论1.1 移动互联网发展概述1.1.1 移动互联网发展历程
移动互联网起源于移动通信网络与互联网(Internet)的结合。互联网的开创始于1969年美国国防部的ARPAnet网络,ARPAnet网络最初服务于美国国防部的军事系统,从技术上不具备推广的条件,随着TCP/IP、WWW等技术的研发,并入网络的电脑主机和局域网逐渐增加,从而诞生了真正的Internet网络。20世纪90年代后,Internet商业化服务提供商的出现,商业机构逐渐发现Internet在通信、资料检索、客户服务等方面的巨大潜力。于是,其势一发不可收拾,世界各地无数的企业及个人纷纷涌入Internet,从而带来Internet发展史上一个新的飞跃。1994年4月,中国正式加入Internet,成为真正拥有全功能Internet的第77个国家。Internet目前已有超过200个国家和地区加入,截止到2014年底,全球活跃互联网用户突破30亿人。
移动通信技术在过去的十多年中发生了巨大的变化。20世纪80年代开始提出第1代移动通信技术(1G,The 1st Generation),第1代移动通信网络采用模拟语音调制技术,其业务量小、质量差、安全性差、速度低,传输速度约为2.4 kbit/s,如美国推出的AMPS(Advanced Mobile Phone Service,高级移动电话业务)、英国推出的TACS(Total Access Communication System,全接入通信系统)、北欧的NMT(Nordic Mobile Telephone,北欧移动电话系统)。但是不同的网络采用不同的技术,相互之间无法漫游,也无法开展数据承载的业务。20世纪80年代中期欧洲等发达国家开始研制第2代移动通信技术(2G,The 2nd Generation),欧洲国家主导的GSM(Global System for Mobile Communication,全球移动通信系统)系统于1991年正式运行。为了满足数据业务的需求,GPRS(General Packet Radio Service,通用分组无线业务)技术顺势而生,其数据速率可达115 kbit/s,使移动通信与 Internet 结合在一起,提供移动互联网浏览、收发邮件等业务,开始真正意义上的移动互联网业务。在向第3代移动通信技术(3G,The 3rd Generation)的演进过程中,又推出了增强型数据速率GSM演进(EDGE,Enhanced Data Rate for GSM Evolution)技术,EDGE技术有效地提高了GPRS信道编码效率及其高速移动数据标准,其数据业务传输速率达到384 kbit/s。伴随着用户对数据带宽的需求不断提升,国际电信联盟(ITU,International Telecommunication Union)提出发展IMT-2000第3代移动通信技术,主要的技术标准包括WCDMA(Wideband CDMA,宽带码分多址)、cdma2000和TD-SCDMA。TD-SCDMA支持的峰值下行速率达2.8 Mbit/s,CDMA网络在高速移动状态可提供384 kbit/s的传输速率,在低速移动或室内环境下,可提供2 Mbit/s的传输速率。IMT-2000家族中各种标准存在相互兼容的问题,同时还存在频谱利用率低、速率不够高等问题,因此需持续向第4 代移动通信(4G,The 4th Generation)标准演进,其主要标准包括TD-LTE(TD-SCDMA Long Term Evolution,TD-SCDMA 长期演进)、FDD-LTE(Frequency Division Duplexing Long Term Evolution,频分双工长期演进)技术。我国已于2013年12月正式发放TD-LTE牌照,2014年2月发放FDD-LTE牌照,全面进入4G时代。2015年,国际范围内的5G标准研究工作已经启动,预计2020年前5G标准成熟并可逐步投入商用。1.1.2 移动互联网特点
相比传统基于 PC的互联网模式,移动互联网由于其智能移动的特征,在过去几年时间内呈现出爆发式的增长态势。根据2015年7月中国互联网络信息中心(CNNIC,China Internet Network Information Center)发布的统计报告,我国网民规模达到6.68亿,其中近9成用户使用手机上网。移动互联网的主要特点有3个,即终端智能化、网络IP化、业务多元化。
终端智能化是指开放原本封闭的操作系统,开发者可以利用操作系统提供的开发环境开发各类应用程序,用户可以自行加载应用程序扩展手机功能。智能终端开放、可扩展的特点,成为通信行业和其他行业联合、跨行业融合的纽带。
网络 IP 化是网络向适应移动互联网需求方向发展的基础。IP 化网络使移动互联网具备了打破传统电信领域疆界的能力,通过网络融合、业务融合和运营转型等,使与移动互联网密切相关的产业因素深刻影响移动通信的发展。移动互联网IP化具有很多优点,如提高业务的丰富性、组网灵活性、系统高扩展性、业务和网络的可管理性等,但是IP化也带来一个很大的问题,就是把基于IP的互联网存在的安全威胁全部引入到了移动互联网。如以前在固网中出现的DDoS(Distributed Denial of Service,分布式拒绝服务)攻击、蠕虫病毒、恶意网页推送等,如今在移动互联网中也非常常见。
移动互联网业务多元化的特点也越来越突出,应用创新、跨界合作、商业模式创新等成为显著的特点。移动互联网的业务不是传统互联网业务的翻版,通过智能终端这个展现的载体,叠加移动化和个性化等特点,衍生出更多的业务形式、商业模式和合作模式,促进产生新的产业和业务形态。1.1.3 移动互联网业务
移动互联网业务伴随着移动通信网络的发展不断发展。在 2G 网络时代,受限于移动网络传输速度,移动互联网业务主要以短消息、多媒体消息、浏览类业务、邮件等增值业务为代表,其中短消息业务是最主要的移动增值业务。2004年,移动增值业务市场收入为385亿元,发送短信2 177亿条,短信收入占运营商总收入的50%以上,其他业务如彩信、WAP(Wireless Application Protocol,无线应用通信协议)等业务增长速度也非常快。
到了3G时代,网络传输速度比2G时代有很大的提升,3G网络为用户提供了一个实时在线的高速数据接入,移动互联网业务不再局限于通信类的业务,而是逐渐渗透到工作、生活的方方面面,用户可以通过移动终端实现办公、实时导航、安全支付、在线游戏等业务,实现了用户多层次的各类需求。移动通信网络逐渐变成了通信管道,基于通信管道,各类互联网应用百花齐放。
4G网络牌照已经下发,对于5G(The 5th Generation,第5代移动通信)的研究也已启动,物联网将被规模部署和应用。网络速度已不再是用户对行业的第一诉求,移动互联网应用的发展将主战场从手机拓展到物联网终端领域。特别是大数据、云端计算的移动互联网应用是主要发展方向。未来,移动互联网业务多元化的特点越来越突出,这势必会促进产生更多类型的创新应用,产业链涉及的领域越来越多,移动互联网的规模逐步放大。1.2 智能终端发展概述1.2.1 智能终端发展现状
随着移动通信网络的发展,智能终端产业迅猛发展,智能手机市场规模不断扩大。智能手机不再仅仅是通信的工具,更成为人们日常工作生活中的助手。2013年全球智能手机出货量为10.042亿部,2014年为11.67亿部,2015年达到了12.927亿部,年增 10.3%。虽然智能手机主要的市场份额还是被三星和苹果占领,但中国智能手机发展和进步巨大,2015年出货量达到了4.5亿部,占据全球智能手机出货量42%的份额,而且在全球十大手机品牌中占据了7个席位,以华为为代表的国产智能手机在高端智能手机市场表现瞩目,表明了我国手机厂商在软硬件整合能力、产业核心技术领域的巨大进步。
智能终端的市场不断发展壮大,其形态也不再局限于智能手机、平板电脑、智能电视,应用的领域也不再局限于大众消费市场。智能手表、智能眼镜等可穿戴产品也在逐渐走入大众市场,可穿戴设备不断催生出围绕个人运动、健康等主题的消费热点和消费模式。在三网融合及大众需求的大背景下,个人终端、家庭电视、PC电脑之间的设备互联、融合互动将又会成为新的消费热点,多种设备的互动还会催生新型的应用体验模式。
物联网终端是移动智能终端的另一发展方向。近年来,随着信息化的逐渐深入,物联网的概念逐渐明晰,物联网应用的前景广阔,成为智能终端市场新的热点。据IC Insights预测,2015年全球接入物联网的终端设备将达到132亿个,已经远远超过通过 PC 和手机上网的人数。物联网终端应用领域和应用模式也越来越多,其可以应用于工业、农业、医疗、家居、安全、交通等领域,如医疗监控和诊断、智能电表、智能水文监测、智能家居、车联网等。在应用模式方面,物联网终端可以作为智能控制终端、智能跟踪终端以及智能标签,如无人驾驶汽车的智能控制模式、应用传感设备进行气象数据的采集和分析、通过NFC技术进行标签的智能识别等。1.2.2 智能终端关键技术
智能终端是由底层硬件、操作系统以及可以扩展的各类应用组成,实现移动通信基础功能,并承载各类移动互联网业务。智能终端的关键技术主要包括无线接入、操作系统、终端硬件、应用等。
1.2.2.1 终端无线接入技术
终端设备通过无线接口与无线接入网相连,实现终端与网络的物理接入,与网络进行信令和数据的交换。终端无线接入模块主要包括射频模块(RF,Radio Frequency)、基带处理器。基带处理器是接入模块最核心的部分,主要功能为基带编解码、语音编码等,负责基带信号处理和协议处理;射频模块主要负责射频收发、频率合成和功率放大,主要实现信号接收和信号发送,主要包括天线、开关、SAW 滤波器功率放大器(PA,Power Amplifier)、收发器等。
伴随移动通信网络技术的发展历程,终端无线通信接入技术不断发展,从支持GSM、CDMA(Code Division Multiple Access,码分多址)、GPRS(General Packet Radio Service,通用分组无线服务)、EDGE(Enhanced Data Rate for GSM Evolution,增强型数据速率GSM演进)的2G无线接入技术,到TD-SCDMA、WCDMA、cdma2000的3G无线接入技术,进入4G时代,终端的无线接入需要支持LTE-FDD和TD-LTE技术。上述各种制式将在未来相当长的一段时期内长期共存,国内运营商主导推出了“五模十频”“全网通”等终端,支持多种网络制式,扫清了用户使用障碍。
终端无线接入技术,国际范围内均追随着国际标准化演进的路线,其核心技术、关键指标、安全性均通过国际标准化工作组的专业研究工作提供保障。
智能终端除了支持蜂窝移动通信技术外,通常还支持Wi-Fi无线接入、蓝牙数据传输、NFC短距离数据传输等功能。
1.2.2.2 终端硬件技术
连续几年,终端硬件的更新换代速度非常快,终端硬件的飞速发展启动了智能终端时代。智能终端的硬件器件包括应用处理器(AP,Application Processor)、Modem、内存、电池管理单元(PMU,Power Management Unit)、屏幕、摄像头、传感器、电池、天线等。
应用处理器是智能终端最核心的部件,是衡量终端性能的重要指标。应用处理器通常集成了CPU和GPU(Graphic Processing Unit,图形处理器),CPU主要负责操作系统和应用程序的运行,GPU 是专门用于处理图像的处理器。当前 AP芯片一般采用Cortex-A架构,集成多个处理器内核以提高处理性能,目前包含八核处理器的芯片提供了最佳性价比。
传感器指能感受和测量某状态并按照一定的规律转换成可用信号的器件或装置,它让移动终端更智能,是用户获得与智能终端良好交互体验必不可少的部件。移动终端常用的传感器有光线传感器和距离传感器。光线传感器可以根据环境光线的强弱自动调整屏幕亮度;距离传感器可以使屏幕靠近耳朵时候自动变暗,离开人体时,自动变亮,尤其对于触摸屏可以防止用户误操作。其他诸如陀螺仪、光学心率传感器、运动传感器等伴随着智能可穿戴设备的发展也在相当多的智能手机中集成。随着物联网应用的逐渐深入,智能终端上搭载的传感器件越来越多,未来有可能成为智能终端最主要的特征。
其他的如电池管理、屏幕、摄像头、天线、内存等,都在智能终端时代取得了长足的发展。
1.2.2.3 终端操作系统
操作系统是智能终端的核心,能够使用基础通信服务,安装和运行丰富的扩展应用。智能终端的操作系统一般包括内核层、核心服务层和应用框架层。内核层实现内存管理、文件管理、电源管理等核心操作系统任务;核心服务层通过封装库函数为外部接口提供访问操作系统的服务,如安全性管理、媒体管理、SQLite引擎等;应用框架层为开发者提供各种开发组件,支持应用的运行,并负责处理屏幕触摸、页面显示等事件。
Android和iOS(iPhone Operating System,iPhone操作系统)是当前市场占有率最高的两个系统,2015年 Android、iOS 在国内终端操作系统市场的占有率超过98%。国产终端操作系统的发展陷入困境。
1.2.2.4 终端应用
终端操作系统向开发者开放了软件开发工具包 SDK(Software Development Kit),使开发者能够调用操作系统提供的丰富应用程序开发接口(API,Application Programming Interface)开发丰富的扩展应用,造就了多姿多彩的智能操作系统生态环境。
第三方开发的应用通过应用商店分发,开发者从应用商店下载应用并安装。应用商店的应用规模是操作系统生态的重要指标,Android 和 iOS的应用规模都超过了120万个。
应用的质量和水平已经成为评价智能终端使用体验的关键指标。1.3 移动互联网终端信息安全技术
智能终端操作系统将原本封闭的终端系统开放,使移动终端与互联网的交互越来越便捷,终端承载了越来越多业务功能,包含了越来越多的个人信息,终端安全性至关重要。
终端安全性体现在终端操作系统、终端硬件及架构、终端应用等各个层面。
终端操作系统的安全技术主要体现在防范操作系统后门程序、操作系统漏洞以及API的滥用等方面。对于安全需求敏感的用户需要自主可控的操作系统,防止后门程序带来的主观恶意行为。终端操作系统需要不断地升级更新,持续解决技术缺陷和漏洞,另外其升级更新需要在受控的条件下完成。操作系统提供对系统资源调用的监控、保护、提醒,确保涉及安全的系统行为在受控的状态下,不会出现用户在不知情的情况下某种行为的执行。
硬件安全主要体现在芯片内程序、终端参数、安全数据、用户数据安全等方面,上述信息需要在芯片层面保证不被篡改或非法获取。另外,通过设计采用更安全的硬件架构设计可提供更高级别的安全性。
终端应用安全包含应用分发安全、应用使用安全,可通过安全应用商店安全检测机制在应用测试和上架环节提高应用在分发前的安全性,通过终端层面的应用安全控制提高应用在使用中的安全性等。1.4 小结
移动互联网是移动和互联网结合的产物,既继承了互联网的开放、分享、互动特点,也继承了移动环境下的移动性和个人化的特点。移动互联网不断催生出创新的业务形式、跨界的商业模式,越来越多的人投入移动互联网,或成为移动互联网用户中的一员,或成为移动互联网创业大军中的一员。移动互联网无时无刻地改变着人们的生活方式。为了让读者更好地了解移动互联网的相关背景,本章首先回顾了移动互联网的发展历程,总结了移动互联网的特点及业务形式;然后简要阐述了作为移动互联网中重要角色的智能终端的发展现状和关键技术;最后分析了移动互联网面临的最大的挑战——安全性,指出移动互联网时代智能终端安全的重要性。第2章移动互联网时代智能终端的安全威胁2.1 概述
Gartner 和麦肯锡的预测数据显示,2015年全球连接到互联网上的设备将达49亿台,2020年或将超过260亿台,智能汽车、手机、手环、医疗设备、家电等智能设备逐渐普及到人类的生产生活中,科技正逐步实现万物互联的美好愿景,也成就了发展迅猛的移动互联网产业。
与传统互联网相比,移动互联网应用能够给用户提供更有针对性的服务和更具交互性的体验,因此其传播更快速、使用范围更广泛,智能终端强大的处理能力和丰富的应用软件极大地方便了人们的工作和生活。移动智能终端作为移动互联网业务的载体,不再仅仅是通信、娱乐工具,同时承载了移动电子商务、移动支付、移动互联网金融、移动政务、移动执法、移动办公等丰富的业务功能。以个人为中心的移动互联网终端和业务承载着大量个人日常工作和生活信息,其重要性日益凸显。
在移动互联网产业蓬勃发展的背后,针对移动互联网和移动智能终端的各类病毒、木马、后门也层出不穷,严重威胁了个人信息、隐私数据、金融财富甚至国家机密的安全,移动智能终端信息安全是其中的关键问题,引起了社会各界的广泛关注。《移动互联网恶意代码描述规范》将个人用户的移动终端面临的安全风险分为恶意扣费、隐私窃取、流氓行为、资费消耗、系统破坏、远程控制、诱骗诈骗、远程传播8类。据360互联网安全中心发布的《2015年中国手机安全状况报告》指出,2015年360互联网安全中心累计截获Android平台新增恶意程序样本1 874.0万个,分别是2013年、2014年的27.9倍、5.7倍,平均每天截获新增恶意程序样本高达51 342个;Android用户感染恶意程序3.7亿人次,分别是2013年、2014年的3.8倍和1.1倍,平均每天感染量达到了100.6万人次;在所有手机恶意程序中,资费消耗类恶意程序的感染量仍然保持最多,占比高达73.6%,其次为恶意扣费(21.5%)和隐私窃取(4.1%)。
而从用户体验角度来看,个人用户遭受的安全威胁,除骚扰电话和电信诈骗外,还遭受了恶意扣费、流量消耗、隐私数据泄露、系统和文件损坏及手机中毒等形式的危害。如图2-1所示。图2-1 2014年用户曾经遭受的安全威胁种类
智能终端安全风险对国家信息安全威胁更为突出。斯诺登“棱镜门事件”曝光了美国政府的监控活动,苹果公司与美国政府关于开放用户隐私数据监管和设置系统后门的要求斗争频繁见诸报端,这些都引发了全球对网络安全和个人隐私的担忧,政府部门、命脉行业以及商务人士对安全通信的需求日益增加;Android、iOS 等操作系统存在的诸多安全漏洞或恶意隐藏的后门,严重威胁了用户个人隐私、商业机密、财富以及国家安全;现有的第三方安全软件缺乏底层权限,从而无法完全保证信息安全。
从系统角度来看,移动智能终端信息安全是从终端到云端、从硬件到软件的系统化需求,来自移动互联网的安全威胁源于产业链各个层面,需要产业链各方的共同努力。2.2 硬件层安全威胁
硬件层安全威胁来源于终端芯片设计安全漏洞或终端硬件体系安全防护不足等方面。
终端芯片等核心硬件器件不可避免地存在已知或未知的安全漏洞,可能导致平台安全权限被获取,或芯片中存储的隐私数据被窃取等。如安全专家在“黑帽2014大会”的发言中提到高通骁龙处理器存在严重的安全漏洞。只要通过一些技术手段,任何人都可以利用该漏洞来攻破DRM(Digital Rights Management,数字版权管理)方案,可能导致敏感资料泄露。高通目前也已对外承认了该漏洞的存在。2016年1月,安全研究者Justin Case在社交网络上公布,部分使用MTK芯片的Android 智能手机和平板电脑存在一个安全漏洞,容易被恶意应用利用而轻易获取系统root权限。
终端芯片的漏洞修复依赖于芯片厂家。事实上,终端关键芯片的核心技术大多掌握在国外公司手中,这使涉及国家命脉行业和领域的智能终端安全状况极其尴尬。毕竟,参照美国政府要求苹果公司开放后门以备监管的案例在前,很难确定芯片中是否同样存在类似的“后门”。因此,在国家命脉行业中推行芯片国产化变得尤为重要。
相较于软件开放编程的特性,硬件的安全设计让用户更能感受到安心和安全。推广可信的硬件平台,在移动终端级芯片部署必要的安全策略,确保终端内的系统程序、应用程序、配置参数、用户信息不被篡改或非法获取,对整个移动终端的安全起到基础作用。目前,面向公众用户的终端硬件设计相对已趋于成熟,但针对移动办公或国家命脉行业的应用需求,当前的硬件设计水平还不能满足其安全需求,提升终端硬件安全防护设计水平可以有效防范更多的安全威胁。2.3 操作系统安全威胁
智能终端操作系统是管理和控制终端硬件与软件资源的程序,硬件资源的调度使用及任何软件都必须在操作系统的支持下才能运行。操作系统的功能包括管理系统的硬件/软件及数据资源、控制程序运行、提供人机交互界面、为其他应用软件提供支持等,让终端所有资源协同发挥作用,为第三方软件的开发和运行提供服务和接口支持等。终端的硬件设备和应用软件在操作系统驱动下为用户提供各种功能和服务。
智能终端是一个包含丰富硬件和支持丰富软件的复杂系统。其硬件资源有:通信设备(蜂窝移动通信设备、无线局域网通信设备)、终端信源传感器(麦克、摄像头、陀螺仪、定位导航系统)、终端输入输出设备(红外线接口、蓝牙、USB接口、SDIO接口)、数据存储(机身存储、外置存储卡)等。软件则包括操作系统提供的基础应用,包含基础通信服务软件(电话号码本、通信记录、短消息、电子邮件等)、系统管理软件(系统设置、文件管理、日程管理等),以及相关的各种第三方应用软件。
智能终端操作系统作为一个软件系统,不可避免地存在漏洞问题。漏洞可能导致终端无法正常运行,有些缺陷可能会造成终端管理权限被非法获取或者安全防护措施被绕过,会降低产品安全性并导致严重的安全问题。阿里安全《2015年第三季度移动安全报告》显示2015年前3季度监测的Android系统漏洞97个,同比上涨781%,iOS系统漏洞579个,同比上涨101%。
智能终端操作系统通常开放应用程序编程接口(API,Application Programming Interface)和软件开发工具包(SDK,Software Development Kit)供应用开发者使用,存在不法开发者利用API调用执行恶意行为的风险,带来恶意扣费、隐私窃取、远程控制等安全问题。据统计,目前约80%的恶意应用软件都是通过调用智能终端敏感API来实施恶意行为。
智能终端操作系统的后门程序是另一个极为敏感的安全问题。后门程序一般是指那些绕过程序或系统已有的安全措施而获取对程序或系统访问权的程序方法。后门程序都是程序员自主设计,有的是为后期程序修改提供便利,有的则是开发者故意设置以图实施信息采集、远程控制等非法行为。后门程序的隐蔽性相对更强,通过技术手段检测的难度很大。尤其是操作系统层面的后门对国家信息安全威胁极大。
除操作系统自身技术限制带来的安全风险,不正确地使用操作系统也会引入更多的未知风险,如在系统更新升级时使用未经官方认证的第三方系统,有被植入恶意代码的风险。
终端操作系统安全的目标是对系统资源调用行为进行限制和监控,确保无论在使用者可见或不可见的情况下,系统操作行为总是在安全可控的状态下进行,不会出现在用户不知情或者无法控制的情况下发生不安全或有损用户利益的操作行为。
从国家信息安全的角度,还应加大自主产权智能终端操作系统的研发和推广工作。2.3.1 iOS系统安全分析
iOS 是苹果公司主导的终端操作系统,凭借其出色的稳定性受到众多果粉用户的青睐。iOS 系统的闭源策略使对其安全机制的深入了解变得相对困难,因此iOS系统相对更安全。更主要的是,iOS系统的应用商店AppStore在iOS应用体系中有着极强的控制力,整体应用质量和可靠性相对较高,给用户带来了较高的用户安全体验。但不可避免地,iOS系统同样面临着严重的安全威胁。(1)系统漏洞
最典型的利用iOS系统漏洞的场景是iOS越狱,而尴尬的是,iOS越狱是相当一部分用户主动选择的行为。
开发者利用系统漏洞绕开iOS针对签名检查等安全机制的限制,完成“越狱”行为。Untethered Jailbreak(完美越狱)需要多个iOS漏洞的配合,典型的越狱漏洞组合利用流程是:沙箱逃逸完成文件注入,绕过签名检查,最后利用内核漏洞完成内核代码修改进而关闭iOS的安全机制。
1)文件注入漏洞
在越狱前,通过 iOS 文件注入漏洞,把目标文件加载到 iPhone 设备上。如DDI(Developer Disk Image race condition,开发者磁盘映像的竞态条件)漏洞,在检查签名之后和挂载之前,替换正常的磁盘映像,从而实现文件的注入。在最新的iOS 9完美越狱上,使用了一种全新的文件注入方式,直接在沙箱内通过IPC完成了对任意目录的文件注入。
2)沙箱任意代码执行漏洞
2015年,CVE-2014-4492漏洞细节被披露,其服务端存在于networkd进程,通过IPC实现沙箱与该进程通信,该服务中的通信处理函数没有对xpc_data对象进行类型校验,进而直接调用xpc_data_get_bytes_pointer,而是通过传入其他类型数据混淆,以及fake object构造,最终控制PC并执行任意代码。值得一提的是,这类漏洞在非越狱设备上可直接通过沙箱触发,给用户带来极大的风险。
3)内核漏洞
在越狱过程中内核漏洞的主要目标是利用漏洞转化成稳定的任意读写能力,然后对内核代码进行修改,从内核层关闭iOS的安全机制。虽然iOS内核有诸多安全机制:SMAP(Supervisor Mode Access Prevention,防止超级用户访问)、DEP(Data Execution Prevention,数据执行保护)、KASLR(Kernel Address Space Layout Randomization,随机分配内核地址空间),但仍有少数的溢出漏洞能独立利用并绕过这些安全机制,最近数次完美越狱(iOS7.1.2~iOS9.0)的内核漏洞都是从开源驱动模块IOHIDFamily中找到的。用于iOS9越狱的CVE-2015-6974漏洞,存在于 IOHIDFamily-IOHIDLibUserClient 中,是典型的UAF 漏洞,在对象释放后未将指针置空,使对象释放后用户态还能继续调用,进而泄露内核基础和控制vtable找到合适的gadget转化成任意读写能力。(2)开发工具植入恶意代码
Xcode Ghost是一种iOS手机病毒,主要通过非官方下载的Xcode传播,通过在开发工具 Xcode 中插入恶意代码,在开发过程中通过 CoreService 库文件进行感染,使编译出的App 被注入第三方的代码,向指定网站上传用户数据。
2015年9月,在App Store上架的多个应用被爆注入了Xcode第三方恶意代码,这些恶意代码成功绕过了苹果平台的审核,在被用户下载到本地运行时即可窃取用户信息,执行大量恶意行为。受XcodeGhost病毒影响,App Store下架了被污染的多个应用,逾1亿用户受影响。(3)iOS后门风波
德国《明镜》周刊网站最先披露美国国家安全局曾编制一种软件用以收集苹果手机用户信息,这在一定程度上证实了技术界人士先前的普遍推测,即苹果手机有“后门”。在德国汉堡市举行的第30届混沌通信大会期间,电脑安全独立研究人员雅各布·阿佩尔鲍姆公开了多份美国国家安全局文件,披露这一美国情报机构编制恶意软件,名为“遗失吉普”(Dropout Jeep)。文件编写日期为2008年10月1日,即苹果iPhone等智能手机上市初期。“遗失吉普”最初版本需要以人工方式植入iPhone,后续版本可以远程遥控安装,用于收集手机用户联系人、读取短信内容、听取语音留言、确认手机所处地理位置以及附近基站,甚至打开手机相机和麦克风,继而以加密数据的方式把这些信息发回植入者。2014年3月中央电视台也对苹果手机可搜集记录用户位置的功能提出质疑,认为苹果手机详细记录了用户位置和移动轨迹,并记录在未加密数据库中,该功能不仅记录用户常去的地点名称,还详细记录用户在这个地点停留的时间及次数。
2014年苹果公司首次承认,可以通过一项此前并未公开的技术来提取iPhone中定位、短信、通讯录和照片等个人数据。同时苹果公司强调称,通过此项技术提取的用户数据仅用于售后服务和改善用户体验并且苹果公司从未与任何国家的任何政府机构就任何产品或服务建立过所谓的“后门”。尽管目前没有充分证据证明 iOS 操作系统存在间谍“后门”,但是苹果公司收集的信息显然超过了他们的需要,这些信息可能被情报机构或者恶意组织利用进行泄露隐私等危害用户权益的行为。如果这些信息中还涉及到商业秘密或国家机密,将会对整个社会的信息安全造成破坏。(4)用户数据安全
苹果手机的iCloud云服务向用户提供位置、短信、通讯录、照片等信息备份功能,云端数据存储在境外服务器中,对于政府工作人员、军人和商务人士来说,可能会存在泄露商业秘密和国家机密的风险。(5)越狱的安全隐患
iOS越狱是针对iOS操作系统限制用户存储读写权限的破解操作。经过越狱的iPhone拥有对系统底层的读写权限,能够让iPhone手机免费使用破解后的App Store软件。
iOS系统一旦“越狱”,iOS系统的代码签名、沙盒等数据保护机制便失去了作用,用户数据完全暴露在攻击者面前。“越狱”过的用户,手机安全受到严重的威胁,用户更加容易受到恶意软件和其他病毒的影响,黑客也更容易获得更高的权限,从而对系统进行控制。iOS 系统在越狱后,其所实现的功能发生很大的变化,提高了用户权限,可以安装多种软件,可以对用户资料进行截获、跟踪和窃听,越狱前后功能对比如表2-1所示。表2-1 iOS越狱前后所实现功能对比
iOS 越狱多数是用户的主动行为,用户选择了使用过程中的功能性而牺牲了安全性,由此导致的安全威胁,只能依赖用户个体信息安全意识的提高来改善。2.3.2 Android系统安全分析
Android系统是Google公司在2007年11月5日公布的手机操作系统,截至2015年10月已发布到6.0版本。Android系统基于Linux内核,是一种自由的开源代码的操作系统,可以说是发展最为迅速的操作系统。Android 系统的安全机制是在Linux安全机制的基础上构建的,但Android系统以开放性为主,无论是应用程序数字签名方式、权限控制、发布渠道、应用程序审核等都是开放性设计,因此 Android 平台成为恶意软件和病毒攻击的重要对象,面临的安全问题更为严重。(1)ROOT权限泄露
Android系统并未严格限制开发者或者用户获取ROOT权限,ROOT权限是系统最高级别的操作权限,可以对手机中的任意数据和文件进行操作。如果被恶意软件获取ROOT权限,将会造成用户隐私泄露并遭受恶意扣费、资源消耗等各种恶意行为的侵害。(2)版本碎片化问题
随着Android设备的增加,各种品牌、版本、屏幕分辨率以及不同硬件和定制 ROM 使 Android 面临碎片化的问题。这不仅造成了开发者繁重的适配工作,还使信息安全问题更加难以解决。目前甚至还存在着相当比例的2.1、2.3等老版本 Android 系统,不具备最新的安全功能,这类设备遭受恶意软件骚扰和网络攻击的风险急剧增加。(3)开放的应用分发方式
应用商店原本应作为手机病毒传播的第一道屏障,但Android应用传播可以说完全脱离了应用商店的限制,Android系统对于应用的来源并未做出严格要求,允许任意未知来源的应用下载和安装。Google官方Google Play Market应用商店市场占有率有限且在我国未开展业务,而第三方应用商店由于缺乏有效的监管,因此更多基于互联网传播的应用被注入恶意代码。应用分发过程的开放性造成Android应用质量不可靠的问题,安全性无法得到保证。2.4 应用软件安全威胁
智能终端可以通过下载和安装应用软件来扩展终端功能,为用户提供扩展服务。但是目前用户对应用安全威胁的认知不够,整个移动应用规模极大而质量良莠不齐,整个移动互联网产业链对应用软件的管理和认证投入不足,造成了各类恶意应用软件的广泛传播。(1)木马软件
如“微信鬼面”手机木马,通过伪装成微信支付功能,接收木马作者的短信指令使中招手机向外发送短信,还能将中招手机收到的短信转发给木马作者。还有针对通讯录的手机木马,会遍历中招手机的通讯录向所有联系人群发短信,或在后台私自发送付费信息。(2)钓鱼链接和电信欺诈
暗藏钓鱼链接的消息经红火的社交软件频繁现身网络,不少网友在抽到“中奖”后根据提示输入个人身份和账号信息,最终遭受极大的经济损失。还有模拟电话号码、窃取他人微信账号,并假冒熟人进行的诈骗也越来越多,避免这类安全问题的关键只能是提高个人安全防范意识,避免上当受骗。(3)反编译、应用仿冒
Android平台仅要求应用软件开发者自签名,且不对签名的真实性进行验证,造成基于Android平台开发的应用软件签名真实性无法保证、软件信息无法溯源,再加上Java应用易于反编译,许多应用在分发环节被反编译并被植入恶意代码或广告,之后仿冒原应用在网络流传。
另外,Android系统爆出的假ID漏洞,系统针对应用的签名ID被黑客仿冒后,可以仿冒该应用而获取相应的权限和信息,如冒充Google钱包获得付款和财务数据、冒充Adobe应用获取用户某些敏感文档数据等。(4)隐私数据窃取
窃取隐私数据包括应用将未经用户确认的隐私数据收集或泄露,以及恶意篡改用户数据等行为。
终端应用大多存在过度申请权限的问题,在功能之外收集用户通讯录、通话记录、短信、位置信息等隐私数据,造成泄露风险。还有木马病毒等恶意应用,直接以窃取用户隐私数据、窃取用户金融资产为目的。如一款名为“隐私洗劫器”的木马,可伪装成Facebook安全令牌等手机安全软件,窃取中招者的银行验证码、通讯录等大量隐私;一款名为“窃听大盗”的手机木马,偷录用户的通话、调用摄像头偷拍周边环境、定位用户位置等。(5)恶意吸费
应用在用户不知情或未授权的情况下,通过自动拨打付费电话、发送业务订阅短信、频繁连接网络等方式,导致用户资费损失。相当比例的用户资费争议最终都被证明是由于用户终端中被植入了恶意吸费应用。
应用安全需要用户和行业的共同努力。用户方面,提高应用安全意识,主动拒绝安装和使用不明来源的应用;行业方面,加大安全宣传,加大应用安全检测的投入,进一步完善应用商店建设,使应用商店切实起到应用安全规范化引导,遏制恶意代码、违规内容及盗版软件传播,推动建设健康的移动互联网生态系统的作用。2.5 云端服务安全威胁
云端服务具有高度分布式、高度虚拟化的特点,对个人用户而言,将信息的存储和计算放在云端,可降低自身存储和计算资源有限所带来的很多约束。伴随着移动网络传输速度的进一步提升,服务云端化已呈趋势。
云端服务如不能有效地管理加密信息、认证代码和接入权限,可能会带来诸如数据丢失和泄露的问题,且危害范围更大。如2014年5月,乌云漏洞报告平台证实,小米论坛官方数据库泄露,涉及800万使用小米手机、MIUI系统等小米产品用户的大量用户资料被泄露。2014年9月初,据美国新闻网站BuzzFeed消息,黑客攻击了苹果的iCloud账号,获取了多位好莱坞女星的私密照片并在网上流传。
造成云端服务安全问题的主要原因有:认证、授权和审计控制不足、加密或认证密钥的使用不统一、操作失败、处理不当、管辖权和政治问题、数据中心的可靠性以及数据恢复策略不完善等。
为提高安全性,云端服务应设计相应的安全机制以保护用户数据的机密性、完整性和可用性,并需要使云服务器的执行具有高度的可信性。2.6 移动网络安全威胁
移动互联网面临的网络环境,主要包括移动网络接入、Wi-Fi热点接入等。
随着 4G 网络的部署和商用,国内的移动通信网络将长期处于 2G、3G、4G多种制式长期共存的态势。相对来看,早期的2G 网络存在一定的安全缺陷,由于系统只对无线信道加密,不是端对端的加密,用户信息在Abis、A接口上的明文传输时可能被截取;只有网络对用户的单向身份认证,无法防止伪造网络设备(如基站)的攻击;移动台第一次注册和漫游时,IMSI(International Mobile Subscriber Identification Number,国际移动用户识别码)以明文方式发送到网络,被监听后手机会被克隆。2G网络存在多数技术缺陷在3G时代得到修正,如改进密钥安全算法、采用双向认证、提高数据完整性和机密性保护等。移动网络的安全策略,大多是基于国际通信标准的进度部署和应用,网络安全性方面整体呈现逐步提升的趋势。
Wi-Fi非常适合移动办公用户的需要。Wi-Fi本身是无线局域网的范畴,由于设计满足近距离接入的使用场景,其安全策略设计弱于移动网络。技术上,Wi-Fi面临地址欺骗和会话拦截的问题,非法用户通过侦听手段会获得合法 MAC 地址而发起恶意攻击,或者侵入网络伪造身份拦截局域网内的会话信息。
典型的网络安全问题有伪基站、不安全Wi-Fi热点等。
伪基站问题,即使用伪基站设备,伪装成运营商的基站,冒用他人手机号码强行向用户手机发送诈骗、广告等非法短信。伪基站问题利用了 GSM 网络的安全设计缺陷,解决伪基站问题的核心是加强通信业立法,联合公检法等行政力量打击诈骗等违法行为。
Wi-Fi热点也可能存在巨大的安全隐患:公共场所的免费Wi-Fi热点可能是钓鱼陷阱,家用Wi-Fi可能被轻松攻破,网民可能面临个人敏感信息被盗,甚至造成直接的经济损失。用户应提高安全意识,慎用公共场所Wi-Fi热点,注意个人敏感信息保护。
整体来看,移动网络自身的不断演进,以及移动网络与 WLAN、WiMax(Worldwide Interoperability for Microwave Access,全球微波互联接入)等其他无线网络的异构融合都伴随着网络安全体系与机制的不断发展与完善,从技术角度对身份认证机制、数据完整性保护、空口加密机制、用户身份保护、网络信息安全交换、终端安全接入等均有相应的安全策略部署。2.7 小结
在移动互联网快速发展的时代,网络无处不在、无时不在,网络与民众的生活息息相关。移动智能终端和移动互联网的信息安全将会面临更加严峻的挑战。
从目前的数据和发展趋势可以预测,未来的移动互联网安全攻防仍将围绕移动智能终端展开。未来的移动智能终端将会越来越开放和智能,承载更多有价值的用户信息,也会承载更多办公、支付等业务功能,体现更大的商业价值。巨大的群体规模和经济利益将会刺激针对移动智能终端的恶意行为继续增长。在使用过程中,移动智能终端在硬件、操作系统、应用软件、云端服务和移动网络方面面临着无处不在的安全威胁,这需要终端与移动互联服务提供商、与平台、与网络等各方面采取协同的安全措施来应对。同时,移动智能终端用户也应提升自身的安全防护意识,主动规避各类安全威胁。第3章硬件安全技术3.1 概述
传统互联网应用为提高安全性,最终很多都收敛为基于硬件的安全方案,如银行系统的客户证书,即通过颁发一个实体的USB key硬件进一步验证用户身份,为用户提供安全服务。从另一角度不难猜想,用户或某些安全行业更信赖基于物理硬件的安全使用体验。
硬件安全对智能终端安全同样重要。智能终端的硬件系统,是一个包含了应用处理器(AP)、Modem、内存、电池管理单元(PMU)、屏幕、摄像头、传感器、电池、天线等丰富配件的复杂集成系统。在硬件设计层面加强安全性设计,虽然存在缺乏灵活性、加重系统开销、增加系统功耗等缺点,但考虑到可以建立更为可靠的系统安全基础,显著提高终端安全性,得到某些成本不敏感的行业用户的青睐。
主芯片层面,ARM公司近几年在大力推广其TrustZone安全架构,通过在芯片层引入一个小型安全系统实现应用层面和关键数据的安全管理和隔离,提供一套完整的主芯片安全解决方案;在防刷机和安全启动角度,芯片厂家和手机厂家也从硬件层入手提供了安全启动解决方案;其他专业芯片、加解密芯片等,也逐步在硬件设计时被使用;结合安全的硬件架构设计,增强终端硬件安全性。
同时,面向国家信息安全要求,政府在国家产业策略上一直在大力支持相关硬件的自主化,突出自主可控安全特征。3.2 主芯片安全技术3.2.1 TrustZone安全技术
ARM TrustZone技术是芯片级的安全解决方案,通过在CPU内核的设计中集成系统安全性扩展,同时提供安全软件平台,为安全支付、数字版权管理(DRM,Digital Rights Management)、企业服务等应用提供了安全的运行环境。TrustZone技术与 Cortex-A 处理器紧密集成,并通过 AMBA(Advanced Microntroller Bus Architecture,先进微控制器总线架构)总线和一系列的TrustZone系统IP块在系统中进行扩展,可以保护安全内存、加密块、键盘和屏幕等外设,确保它们免遭软件攻击。TrustZone技术是ARMv6内核架构下的重要扩展特性之一,为设计具有高度安全性的嵌入式系统提供了坚实的基础。
TrustZone将硬件和软件资源划分为两个执行环境:安全世界(Secure World)和普通世界(Normal World)。不同执行环境的系统软件和应用软件、内存区和外围设备等均相互独立。TrustZone的硬件逻辑,使安全世界的资源与普通世界隔离,不能被普通世界的组件访问。把敏感资源放在安全世界,能保护绝大多数的资源免受很多潜在的攻击,包括一些很难保证安全的操作,如用键盘或者触摸屏输入密码。普通世界和安全世界的代码以分时共享的方式在同一个物理处理器核上运行,使其不需要专用的处理器内核来执行安全代码,节省了芯片面积和能耗。
3.2.1.1 TrustZone硬件架构
TrustZone的硬件架构如图3-1所示,其核心包括处理器内核、直接内存访问(DMA,Direct Memory Access)、安全RAM、安全启动ROM、通用中断控制(GIC,Generic Interrupt Controller)、TrustZone 地址空间控制器(TZASC,Trust Zone Address Space Controller)、TrustZone保护控制器、动态内存控制器(DMC,Dynamic Memory Controller)和DRAM(Dynamic Random Access Memory,动态内存控制器),TrustZone内部组件通过AXI(Advanced eXtensible Interface,先进的可扩展接口)系统总线通信,与外设通过AXI-to-APB桥通信。
试读结束[说明:试读内容隐藏了图片]