移動互聯(lián)網(wǎng)的智能終端防護(hù)技術(shù)探析

胡紅宇

近十年來，移動互聯(lián)網(wǎng)以不可阻擋的趨勢迅速占領(lǐng)市場，尤其是4G網(wǎng)絡(luò)普及，甚至即將進(jìn)入5G時代，移動網(wǎng)絡(luò)帶寬增加，網(wǎng)速大幅提升，為移動互聯(lián)網(wǎng)的發(fā)展提供了良好條件。移動互聯(lián)網(wǎng)以其實時性、可移動性、靈活性等優(yōu)點吸引著軍用、商用、民用各方目光。軍方利用移動互聯(lián)網(wǎng)的實時性、可移動性等特點進(jìn)行機(jī)密信息傳遞，以達(dá)到先發(fā)制人的效果；企業(yè)利用移動互聯(lián)網(wǎng)隨時隨地進(jìn)行商務(wù)會談，及時抓住商機(jī)；而普通百姓則用移動互聯(lián)網(wǎng)進(jìn)行即時通信、娛樂以及位置請求服務(wù)等。移動互聯(lián)網(wǎng)已滲透到軍事科研，人民生活的各個方面。

然而在移動互聯(lián)網(wǎng)提供方便快捷服務(wù)的同時，帶來的安全問題更是不容忽視。在2013年9月的中國移動互聯(lián)網(wǎng)大會上，鄔賀銓院士指出移動互聯(lián)網(wǎng)的安全問題比桌面互聯(lián)網(wǎng)更嚴(yán)重，移動互聯(lián)網(wǎng)已成網(wǎng)絡(luò)安全的重災(zāi)區(qū)。下面是360公司對2017年第一季度手機(jī)終端安全的分析數(shù)據(jù)：

2017年第一季度，360互聯(lián)網(wǎng)安全中心共截獲安卓平臺新增惡意程序樣本222.8萬個，平均每天截獲新增惡意程序2.5萬個。累計監(jiān)測到移動端用戶感染惡意程序5812.7萬人次，平均每天惡意程序感染量達(dá)到64.6萬人次。

安卓平臺新增惡意程序主要是資費消耗，占比高達(dá)71.7%；其次是流氓行為（16.5%）、隱私竊?。?.9%）、惡意扣費（3.2%）和遠(yuǎn)程控制（0.4%）

因此，對移動互聯(lián)網(wǎng)安全關(guān)鍵技術(shù)的研究成為當(dāng)下不可逃避的問題。移動互聯(lián)網(wǎng)作為移動通信與互聯(lián)網(wǎng)融合的產(chǎn)物，致使其在面臨來自傳統(tǒng)網(wǎng)絡(luò)安全威脅的同時，又被移動通信帶來的安全問題所困擾。

因此，本文主要就移動終端面臨的威脅現(xiàn)狀來進(jìn)行分析，給出相應(yīng)的安全策略和建議，以提高智能終端的防護(hù)能力。

一、智能手機(jī)的威脅分析

智能終端在收到惡意程序攻擊后，通常為出現(xiàn)三種情況：數(shù)據(jù)被獲?。簮阂獬绦蛟谑謾C(jī)上運行后，可通過提權(quán)漏洞獲取手機(jī)上保存的各種用戶隱私數(shù)據(jù)；終端被控制：攻擊者可通過手機(jī)木馬對手機(jī)上的各種硬件進(jìn)行控制，甚至可以控制基帶設(shè)備靜默發(fā)送短信和撥打電話。手機(jī)被監(jiān)控：通過控制手機(jī)上的硬件，攻擊者可實現(xiàn)對手機(jī)和用戶的實時監(jiān)控，通過GPS實時定位手機(jī)地理位置，通過聽筒和話筒監(jiān)聽用戶通話等。我們以2015年，典型的手機(jī)木馬“百腦蟲”為例，其工作流程如圖1所示：

打開百腦蟲的應(yīng)用啟動后，會提權(quán)釋放一個無圖標(biāo)的APK到系統(tǒng)應(yīng)用路徑里，此APK在后臺默默運行，用戶難以發(fā)覺。此APK就是百腦蟲病毒的核心模塊，它主要功能有檢查安全軟件、劫取用戶隱私、靜默推廣安裝其他應(yīng)用及病毒文件等。

因此，可以看到，木馬對手機(jī)的危害非常大的。我們不僅需要考慮如何查殺惡意程序，更重要的是，需要防止被植入木馬。這就需要構(gòu)建基于終端的可信體系來完成。

二、如何構(gòu)建可信移動終端

（一）可信終端的結(jié)構(gòu)框架

根據(jù)移動終端的平臺特點和平臺的安全需求，以及目前移動終端分離式的雙處理器架構(gòu)，參照MTM規(guī)范，本文設(shè)計了基于MTM的可信移動終端硬件結(jié)構(gòu)。具體的做法是在傳統(tǒng)的移動終端中增加了MTM模塊作為平臺的可信根，此外還增加了備份存儲器來存儲平臺中核心組件，可信移動終端的結(jié)構(gòu)框架如圖2所示。在整個結(jié)構(gòu)框架中中，MTM是終端平臺的可信根，也是平臺啟動后最先運行的組件，在平臺加電后，MTM對終端加電啟動時要加載的組件依次進(jìn)行完整度量和完整性驗證，最終保證平臺的可信啟動。

此外，MTM還可以通過通用I/O接口（General Purpose I/O，GPIO）來驗證用戶口令，并通過局部I/O總線與生物特征讀取設(shè)備（Biometric Reader，BR）相互通信來驗證用戶身份。除了在移動終端添加MTM模塊外，還在移動終端上增加了備份存儲器組件，用來備份終端可信啟動時所必需的組件數(shù)據(jù)，保證終端能夠正常啟動。

（二） 可信鏈接

在移動終端添加自定義的鉤子函數(shù)并設(shè)定相關(guān)的安全策略，當(dāng)程序想要進(jìn)行某一步操作時，平臺首先判斷該操作是否與既定的安全策略相匹配，若與安全策略相匹配，則允許該操作執(zhí)行，否則拒絕。因此可以將這些安全策略，定義為一個行為準(zhǔn)則庫（Behavior Standard Library，BSL），準(zhǔn)則庫中包含了允許各類應(yīng)用運行的行為列表（Behavior List，BL）。系統(tǒng)在執(zhí)行每一步操作之前，首先調(diào)用BL，根據(jù)BL來判斷該行為是否在其允許的范圍之內(nèi)，只有在BL允許的情形下操作才被允許執(zhí)行，其它都被定義為可疑或惡意行為，具體的可信應(yīng)用模型如圖3所示。

在平臺可信啟動后，檢測平臺上已安裝的應(yīng)用程序，分析每個應(yīng)用實現(xiàn)其相應(yīng)功能所必需的行為，將該應(yīng)用的所有行為集合定義為應(yīng)用行為列表。這樣平臺中的每一個應(yīng)用程序都對應(yīng)一個行為列表，根據(jù)這些行為列表，生成平臺的行為準(zhǔn)則庫。

這樣，通過構(gòu)建可信的結(jié)構(gòu)框架和應(yīng)用模型，可以用來有效防止行為準(zhǔn)則庫被惡意篡改。當(dāng)然，在可信的終端框架基礎(chǔ)上，通過安全的使用習(xí)慣來構(gòu)建安全的防護(hù)措施也是很重要的。

三、智能終端的安全防護(hù)措施

安全的防護(hù)措施保障終端安全的重要手段，具體如下：

（一）不安裝未知來源的應(yīng)用程序

應(yīng)用程序一定要通過正規(guī)的官方互聯(lián)網(wǎng)網(wǎng)站或手機(jī)的應(yīng)用市場來下載軟件，包括辦公軟件、聊天軟件、游戲軟件等。

（二）安裝專業(yè)的安全防護(hù)軟件。

（三）免費的wifi有風(fēng)險，不要隨便連接

隨著無線網(wǎng)絡(luò)的普及，很多地方提供了開放的WIFI網(wǎng)絡(luò)，給人們帶來了很大的方便性，不過，你也要注意“世界沒有免費的午餐、有些打著“免費”旗號的的未必是真的是“免費的”，不知不覺中你的個人隱私信息可能會被人盜竊。

（四）二維碼不要隨便掃

隨著二維碼技術(shù)現(xiàn)在已經(jīng)廣范應(yīng)用，大街上、商場、網(wǎng)上有很多的二維碼，然而，二維碼并不是安全的、進(jìn)行掃描之前一定要進(jìn)行安全確認(rèn)，有些惡意代碼也隱藏其中。

（五）不要隨意Root手機(jī)

一般Android系統(tǒng)提供的權(quán)限足夠手機(jī)實現(xiàn)很多功能了，沒必要為了多點功能而冒著信息被盜的危險 。

（六）不要隨意打開短信、彩信鏈接

很多手機(jī)病毒是通過短信（彩信）鏈接來進(jìn)行傳播的。通過點擊鏈接來誘導(dǎo)用戶點擊、安裝、運行，然后竊取用戶的短信箱、通訊錄信息發(fā)送到指定郵箱、并接受遠(yuǎn)程控制指令執(zhí)行相關(guān)惡意操作。

（七）及時關(guān)閉藍(lán)牙、WiFi等功能

（八）盡量不使用公共場合和陌生人提供的充電寶

許多未知來源的充電寶都被植入了惡意程序和惡意病毒，在用戶使用過程中竊取手機(jī)的重要信息或向手機(jī)植入病毒。

（九）及時更新軟件和應(yīng)用程序

及時更新軟件和應(yīng)用程序才能及時修復(fù)一些漏洞，才能避免被攻擊者趁虛而入。

（十）不在鏈接公共WIFI時進(jìn)行支付或登錄操作

在公共場合的連接公共WIFI時，盡量避免一些支付和登錄操作，以免造成登錄密碼、支付密碼被非法竊取，造成不必要的財產(chǎn)損失。

四、結(jié)論

移動互聯(lián)網(wǎng)的智能終端安全問題，是一個較為復(fù)雜的系統(tǒng)工程問題。我們不僅要構(gòu)建可信、可靠的移動終端，對于相應(yīng)的使用習(xí)慣、安全防護(hù)措施，也是非常重要的。本文所給出的思路和想法，只不過在這個復(fù)雜的問題上，做了一些思考和總結(jié)。面臨著日益變換的互聯(lián)網(wǎng)及互聯(lián)網(wǎng)+的發(fā)展，我們?nèi)匀恍枰粩嗟乃伎己吞剿鳎拍苡行У谋Ｕ现悄芙K端的使用安全。