移動互聯(lián)網(wǎng)手機應(yīng)用安全研討

黃斐一++武靜雅++孔繁盛

【摘 要】介紹了移動互聯(lián)網(wǎng)手機應(yīng)用的安全現(xiàn)狀、發(fā)展趨勢以及典型的手機應(yīng)用惡意行為。為降低惡意應(yīng)用給用戶帶來的安全威脅，著眼整個移動互聯(lián)網(wǎng)手機應(yīng)用行業(yè)，提出了一個手機應(yīng)用安全管控體系，該體系包含了應(yīng)用上線前檢測和上線后監(jiān)控2個主要階段。通過手機安全管控體系可以有效管控手機惡意應(yīng)用，提高用戶使用體驗。

【關(guān)鍵詞】手機應(yīng)用 惡意行為 安全檢測

中圖分類號：TP393.4 文獻標(biāo)識碼：A 文章編號：1006-1010（2014）-17-0060-04

1 背景簡介

隨著移動互聯(lián)網(wǎng)爆炸式的發(fā)展，智能手機終端所面臨的安全威脅日益突出。其安全威脅包括惡意應(yīng)用、騷擾電話、垃圾短信等，其中惡意應(yīng)用對用戶的危害最大。2014年8月2日，來自廣東的大一學(xué)生開發(fā)了一款名為“XX神器”[1]的病毒，在一天之內(nèi)感染超過百萬部手機。它的形態(tài)是這樣的：用戶接收到一條短信，里面包含“http：//cdm.xx.xx/xx/xxshenqi.apk”的地址。當(dāng)Android手機用戶點擊該地址時，會直接下載這個apk安裝文件，下載完成后，系統(tǒng)將進入安裝流程。如果用戶授予手機安裝任何軟件的root權(quán)限，系統(tǒng)將不詢問用戶，直接安裝。如果沒有root權(quán)限，系統(tǒng)在安裝過程中會詢問用戶是否授予這些權(quán)限，沒有警覺性的用戶會直接點“是”。當(dāng)“XX神器”被安裝以后，它將遍歷這個用戶通訊錄里的所有聯(lián)系人，并給這些聯(lián)系人發(fā)送固定內(nèi)容的短信。短信中包含了該軟件的下載地址。由于是好友發(fā)送的短信，收信人看到后極有可能點擊下載安裝，所以極具欺騙性和傳播性。

根據(jù)360互聯(lián)網(wǎng)安全中心在2014年7月31日發(fā)布的報告[2]：2014年上半年，累計截獲Android平臺新增惡意程序樣本超過84.0萬個，其中第二季度新增62.5萬個，較2013年第二季度同比大幅增長381%，較2014年第一季度環(huán)比增長191%。在所有手機惡意程序中，資費消耗類惡意程序的感染量仍然保持最高，占感染人次占總數(shù)的62.9%；惡意扣費類和隱私竊取類惡意程序的感染量分別為17.9%和17.3%；誘騙欺詐類惡意程序的感染量占比1.0%；其他類型占比之和約為0.9%。

手機惡意應(yīng)用泛濫問題的根源來自多個方面：

（1）手機用戶：現(xiàn)階段，國內(nèi)很多手機用戶使用手機應(yīng)用尚無付費習(xí)慣。龐大的受眾群體使得免費應(yīng)用成為惡意程序擴散的主要手段。

（2）應(yīng)用開發(fā)者：除了開發(fā)收費應(yīng)用之外，一部分開發(fā)者為了生存，可能不擇手段的尋找各種盈利手段，比如以各種手段誘騙、吸引用戶下載并安裝應(yīng)用，利用其內(nèi)嵌的廣告盈利。

（3）軟件下載渠道：下載渠道的主要盈利方式是建立在吸引大量開發(fā)者發(fā)布應(yīng)用的基礎(chǔ)上。若對應(yīng)用進行嚴(yán)格的檢測，可能導(dǎo)致該渠道的軟件來源減少進而影響收入。這將導(dǎo)致渠道商沒有進行嚴(yán)格安全檢測的動力和積極性，甚至可能采取縱容的態(tài)度。

（4）安全廠商：為手機用戶提供了免費的殺毒軟件，并可以為軟件下載渠道提供軟件安全檢測服務(wù)。但是免費殺毒的模式與其他軟件開發(fā)者生存模式一致，都是靠用戶數(shù)量盈利，無法保證其權(quán)威性與公正性。

（5）電信運營商：為軟件下載提供網(wǎng)絡(luò)連接，通過流量收取費用。目前運營商已開始在網(wǎng)絡(luò)側(cè)對惡意應(yīng)用進行監(jiān)測，不過尚在起步階段。

（6）國家監(jiān)管機構(gòu)：目前我國在手機應(yīng)用安全監(jiān)管方面的工作剛剛起步，沒有統(tǒng)一的政策、標(biāo)準(zhǔn)等監(jiān)管要求，也缺乏相關(guān)監(jiān)管手段進行支撐，對手機惡意應(yīng)用泛濫的現(xiàn)狀力不從心。

綜上所述，惡意應(yīng)用的泛濫有多方面的原因，為了達到對其良好管控的目的，產(chǎn)業(yè)鏈的各個環(huán)節(jié)都需要付出努力。

2 典型手機應(yīng)用的惡意行為

下面列出了幾種較為典型的手機應(yīng)用惡意行為：

（1）資費消耗：惡意應(yīng)用在用戶不知情的情況下?lián)艽螂娫?、發(fā)送短彩信、開啟網(wǎng)絡(luò)連接發(fā)送用戶數(shù)據(jù)，導(dǎo)致用戶的資費損失。例如某惡意應(yīng)用偽裝為手機壁紙應(yīng)用誘導(dǎo)用戶下載安裝，安裝后在開機或重啟時自動運行某惡意進程，該惡意進程會連網(wǎng)獲取返回鏈接，并不斷嘗試訪問這些鏈接，通過頻繁連接這些網(wǎng)址消耗用戶大量流量。

（2）隱私竊?。簮阂鈶?yīng)用可在用戶未確認(rèn)或不知情的情況下讀取用戶電話本數(shù)據(jù)、通話記錄、短彩信數(shù)據(jù)，或者在用戶不知情的情況下進行通話錄音、拍照、攝像、定位等操作，隨后上傳收集到的隱私數(shù)據(jù)。近兩年，竊取用戶個人隱私正在成為惡意應(yīng)用的主要目標(biāo)之一。除了用戶隱私信息之外，高價值的用戶賬戶信息也是竊取的主要目標(biāo)。例如利用某惡意應(yīng)用，通過淘寶“忘記密碼”這一功能重置手機用戶的支付寶登陸密碼，而重置期間所提示的手機短信，都會被屏蔽，轉(zhuǎn)發(fā)給黑客手機服務(wù)器，若重置成功，則可盜取用戶的淘寶和支付寶賬戶信息，并將用戶賬戶資金盜走。

（3）惡意扣費：惡意代碼通過隱蔽執(zhí)行、欺騙用戶點擊等手段，訂購各類收費業(yè)務(wù)或使用移動終端支付，導(dǎo)致用戶經(jīng)濟損失。例如惡意扣費應(yīng)用可以通過在代碼內(nèi)嵌入業(yè)務(wù)訂購地址，或通過在線訪問的方式，在用戶不知情的情況下發(fā)起訂購。由于被訪問的訂購業(yè)務(wù)是蓄意構(gòu)造的，可能不具備一系列的認(rèn)證、二次確認(rèn)步驟，用戶會不知不覺的“被訂購”和“被扣費”。

（4）遠程控制：一些惡意應(yīng)用可將安裝了該軟件的終端變成一部“傀儡機”，在用戶不知情或未授權(quán)的情況下，接受遠程控制指令并執(zhí)行相應(yīng)的操作。

（5）流氓行為：惡意應(yīng)用可能會在后臺運行，強制駐留系統(tǒng)內(nèi)存，額外占用CPU資源，使手機終端運行緩慢，并且用戶不能禁止該類軟件的開機自啟動，或者用戶不能刪除、卸載該軟件。

3 手機應(yīng)用安全管控體系

應(yīng)對惡意應(yīng)用帶來的安全威脅，需要產(chǎn)業(yè)鏈每個環(huán)節(jié)的共同努力。從用戶、開發(fā)者、渠道商、安全廠商、電信運營商和國家監(jiān)管機構(gòu)多個角度來看，手機應(yīng)用發(fā)布渠道商對應(yīng)用的嚴(yán)格管控、國家行業(yè)主管機構(gòu)對渠道和應(yīng)用的強力監(jiān)管是最為有效的2個環(huán)節(jié)。endprint

3.1 蘋果App Store安全檢測體系帶來的啟發(fā)

移動應(yīng)用市場分析機構(gòu)App Annie 2012年11月發(fā)布的報告稱，蘋果App Store月收入達Google Play的4倍[3]?！哆B線》雜志發(fā)表分析文章表示，收入差距懸殊主要得益于蘋果近乎苛刻的質(zhì)量控制機制和安全審核機制。App Store安全審核機制嚴(yán)格且不透明，主要的審核要點包括了各個方面，其中與安全相關(guān)的限制包括：采集用戶位置信息的限制、推送通知的限制、應(yīng)用中包含的廣告的限制、媒體內(nèi)容的限制（不能包含人身攻擊、暴力、色情、涉及宗教、文化與種族的不當(dāng)內(nèi)容）、不得未經(jīng)用戶許可獲得用戶隱私信息。除此之外，由于蘋果App Store的封閉性，任何應(yīng)用軟件、游戲的升級必須通過App Store完成。這就從另外一個角度杜絕了通過在線更新的方式將惡意代碼植入手機應(yīng)用的可能性。

3.2 手機應(yīng)用安全管控體系

為了應(yīng)對惡意手機應(yīng)用帶來的安全威脅，可以考慮從渠道商和行業(yè)監(jiān)管這2個角度構(gòu)建一個手機應(yīng)用安全管控體系。該體系主要包括上線前和上線后2個管控階段，努力實現(xiàn)手機應(yīng)用上線前無風(fēng)險，上線后可監(jiān)控。

（1）為了保證用戶安裝的手機應(yīng)用是無毒無害的，則需要手機應(yīng)用發(fā)布渠道商在應(yīng)用上線前對其開展嚴(yán)格的安全檢測。該檢測一般包含動態(tài)檢測技術(shù)、靜態(tài)代碼分析技術(shù)，并結(jié)合人工研判，確保應(yīng)用軟件不包含病毒、木馬等惡意代碼。

1）靜態(tài)分析技術(shù)

靜態(tài)分析技術(shù)[4]的基礎(chǔ)是惡意代碼的形式化描述方法。它需要構(gòu)建惡意代碼檢測模型和惡意代碼數(shù)據(jù)庫，并在模型基礎(chǔ)上，結(jié)合對Andriod應(yīng)用程序字節(jié)碼反編譯技術(shù)以及iOS應(yīng)用程序二進制反匯編技術(shù)，通過將手機應(yīng)用與惡意代碼數(shù)據(jù)庫進行匹配的方式判定該應(yīng)用是否包含惡意代碼或者感染病毒。它主要包含2類方案：第一，通過掃描引擎將手機應(yīng)用的安裝包進行解壓，逐一對單個文件計算特征值，并與惡意代碼特征庫中的特征值逐一比對，從而判斷應(yīng)用中是否包含惡意性代碼；第二，掃描引擎將安裝包反編譯成虛擬機識別的dalvik字節(jié)碼，以每個語句單元的“操作碼”為主特征碼、以細(xì)節(jié)信息為輔助特征碼，與惡意代碼特征庫進行匹配，若發(fā)現(xiàn)匹配項則可判斷該應(yīng)用包含惡意代碼或感染了病毒。

2）動態(tài)分析技術(shù)

靜態(tài)安全分析技術(shù)最大的缺陷在于對尚未添加的惡意代碼庫的新型程序，無法通過靜態(tài)特征碼掃描技術(shù)進行甄別。另外，靜態(tài)安全分析技術(shù)的時效性相對不足，通常惡意程序只有預(yù)先經(jīng)過威脅定義、惡意代碼提取等步驟后，才可使用靜態(tài)特征碼掃描。由于惡意代碼要達到感染和破壞的目的，所以具備一定的行為特征。因此可以通過動態(tài)分析技術(shù)[5]監(jiān)測手機應(yīng)用的行為來判斷其是否具有惡意性。手機應(yīng)用的行為特征包括對關(guān)鍵硬件外設(shè)訪問、數(shù)據(jù)通信使用、收發(fā)短彩信、語音通信的使用、數(shù)據(jù)存儲、消耗系統(tǒng)資源等。動態(tài)分析技術(shù)即利用代碼嵌入、模塊化組織、分層功能劃分等技術(shù)手段，對這些行為特征進行全面、準(zhǔn)確、實時的監(jiān)測和分析，結(jié)合沙箱技術(shù)，發(fā)現(xiàn)應(yīng)用的惡意行為。

（2）上線前安全檢測保證了嵌入惡意代碼的手機應(yīng)用無法在各類渠道中上線、發(fā)布。但是由于Android體系的開放性，手機應(yīng)用一旦上線，其版本更新、升級將不再受到發(fā)布渠道的限制。初始的版本可能被盜版、改版、嵌入惡意代碼。這就需要對手機應(yīng)用上線后的安全性做好管控。主要手段包括應(yīng)用發(fā)布渠道監(jiān)測、應(yīng)用安裝后的安全監(jiān)測、投訴處理和應(yīng)急響應(yīng)。

1）發(fā)布渠道監(jiān)測：應(yīng)用發(fā)布渠道監(jiān)測需要從整個行業(yè)層面開展。在國內(nèi)，較大的Android手機應(yīng)用商城已經(jīng)超過了100個，同款應(yīng)用在這些商城中可能都有上架銷售。對于某一款應(yīng)用而言，渠道監(jiān)測的主要工作在于監(jiān)測該應(yīng)用在不同應(yīng)用市場的版本數(shù)、下載量、盜版軟件的下載量、嵌入的廣告商等信息，發(fā)現(xiàn)和預(yù)警應(yīng)用軟件被篡改和盜版的情況。除了自動化的搜索技術(shù)、軟件同源性分析技術(shù)和廣告代碼分析技術(shù)之外，應(yīng)用商城還需要開放相關(guān)的接口以供監(jiān)測。

2）軟件安裝后安全監(jiān)測：該監(jiān)測的主要目標(biāo)在于研判應(yīng)用安裝上線后，是否通過合法的渠道進行更新，是否通過更新、升級等方式具有了惡意行為。這就需要通過某個安裝在客戶端的第三方應(yīng)用收集客戶端上已安裝應(yīng)用的行為，如應(yīng)用程序本地行為和網(wǎng)絡(luò)行為數(shù)據(jù)、應(yīng)用更新數(shù)據(jù)等，并提交到網(wǎng)絡(luò)側(cè)進行分析。如果需要開展此類監(jiān)測，這個第三方監(jiān)測應(yīng)用需要具備一定的公正性和公信力。

3）投訴處理和應(yīng)急響應(yīng)：全行業(yè)惡意手機應(yīng)用的投訴處理和應(yīng)急響應(yīng)需要從國家行業(yè)管理的角度進行考慮。它需要建立投訴處理機制、應(yīng)急響應(yīng)機制和相關(guān)管理平臺，用于收集用戶投訴信息，并進行相應(yīng)的處置。若遇到突發(fā)情況，例如應(yīng)用出現(xiàn)惡意行為、用戶投訴、上級要求等，能夠及時響應(yīng)和處置。

4 手機惡意應(yīng)用發(fā)展趨勢分析

對惡意應(yīng)用的治理實際上是與惡意代碼編寫者長期角力的過程。應(yīng)對惡意應(yīng)用的不斷發(fā)展，檢測手段、監(jiān)控手段也需要不斷的更新?lián)Q代。

（1）惡意應(yīng)用安全檢測難度加大

隨著惡意應(yīng)用升級和新技術(shù)的融入，安全檢測難度越來越大。惡意應(yīng)用具有如下發(fā)展趨勢：首先，惡意應(yīng)用的功能將不斷升級，加入更多新功能，使得其傳播、感染范圍會不斷加大。其次，惡意應(yīng)用的隱蔽性更強，并將采用更多隱藏進程、代碼混淆技術(shù)，在加大分析難度的同時進一步威脅用戶的手機安全。

（2）病毒傳播方式更靈活多變，增加了安全防護的難度

更加多元化的傳播方式，增加了手機感染病毒的機率，對安全防護更增加了難度。例如將病毒主體偽裝為常用的手機應(yīng)用，降低用戶警惕心理；假借運營商、銀行短信端偽造“官方”通知，偽造用戶的好友短信、彩信，并在通知和短彩信中包含相關(guān)下載鏈接誘導(dǎo)用戶點擊安裝（“XX神器”就是偽造好友短信誘導(dǎo)用戶安裝）；利用藍牙、手機存儲卡等方式進行植入傳播。

（3）手機病毒將繼續(xù)向趨利化、多平臺化方向傾斜

2014年，手機病毒將繼續(xù)向多元化、層次化方向傾斜，扣費類病毒在2014年超越傳統(tǒng)的以破壞手機運行為目的手機病毒，成為對用戶威脅最大的移動安全威脅。伴隨Android平臺目前在智能機市場的占有率狂飆式增長，以及該系統(tǒng)平臺自身開源性較強、簽名驗證機制較為薄弱、系統(tǒng)自身存在漏洞等原因，目前Android手機已經(jīng)成為黑客重點攻擊的目標(biāo)。盡管iPhone和黑莓的操作系統(tǒng)由于對外接口有限，開放性不夠，但在犧牲了手機功能的情況下，安全性得到了一定保障。但是，國內(nèi)一些用戶的iPhone“越獄”版則沒有任何安全性可言，也極易遭遇手機病毒威脅。

參考文獻：

[1] 通信產(chǎn)業(yè)網(wǎng). “XX神器”驚擾七夕節(jié) 警惕移動互聯(lián)病毒[EB/OL]. （2014-08-18）. http：//www.ccidcom.com/html/hulianwang/yidonghulianwang/201408/18-231796.html.

[2] 360互聯(lián)網(wǎng)安全中心. 2014年第二期中國手機安全狀況報告[EB/OL]. （2014-07-31）. http：//zt.#/report/.

[3] 王艷紅，楊丁寧，史德年. 當(dāng)前移動應(yīng)用軟件常用安全檢測技術(shù)[J]. 現(xiàn)代電信科技， 2012（9）.

[4] 路程，張淼，徐國愛. 基于源代碼靜態(tài)分析技術(shù)的Android應(yīng)用惡意行為檢測模型[EB/OL]. （2011-11-03）. http：//www.paper.edu.cn/releasepaper/content/201111-54.

[5] 吳俊軍，方明偉，張新訪. 基于啟發(fā)式行為監(jiān)測的手機病毒防治研究[J]. 計算機工程與科學(xué)， 2010（1）.endprint