当前位置:首页 > 重点关注

移动安全威胁解析及系统防护

作者:史文勇    点击数:6560   来源:北京元心科技有限公司   发布时间:2017.09.07

随着移动互联网的兴起与发展,以智能手机为代表的移动终端逐渐成为人们生产与生活必不可少的“助手”。通信、社交、购物、游戏、观影、娱乐、投资理财等原本需要在线下的现实空间里进行的社交与商业活动,现如今在线上的手机屏幕中即可随时“掌控”。

移动安全关乎个人、企业和国家

移动互联网为我们带来前所未有便利的同时,也促使个人隐私内容越来越多,包括账号密码、图片、视频和通讯录等。而移动设备与开放网络的无缝对接,意味着隐私数据随时都有泄密的风险。2013年的“棱镜门”事件堪称一场震惊全球的信息安全大洗礼,首次将个人信息安全问题暴露在公众视野;上半年震惊美国社会的“好莱坞女星艳照”事件,再一次将个人信息安全问题推上风口浪尖。

不仅是个人移动安全,企业移动安全也同样面临着数据泄密的风险。调查数据显示,超过40%的员工会使用移动设备办公,有大约3/4的人用的是自己的设备,95%的企业担心移动安全风险,此外还有近四成IT部门对这些设备没有信心。个人移动设备在公司网络的滥用、客户数据的频繁泄漏等极有可能威胁到企业的安全与运营。

移动信息安全、移动通信安全已经日渐成为政府、社会、用户越来越关注的话题。随着中央网络安全和信息化领导小组的成立,网络和信息安全问题已经上升至国家战略高度。

移动安全风险涉及产业链各环节

在移动操作系统层,Google公司的Android操作系统占据全球智能手机操作系统75%以上的份额。与苹果iOS、Windows Mobile和黑莓系统相比,Android因其开源的特性,被视为存在最大安全风险的系统,也被看作恶意软件最主要的集中平台。但是,这并不意味着苹果iOS平台的用户就能够高枕无忧。除了已经越狱的iOS设备存在着较大的风险之外,iOS系统本身也存在诸多漏洞。iCloud隐私泄露事件频出,警示苹果用户也不能掉以轻心。作为互联网用户的大国,研发我国自主可控的安全智能终端操作系统势在必行,刻不容缓。

在移动通信层,恶意程序和恶意网站随时有可能窃取用户的照片、手机号码等个人隐私信息。通过短信、微信等通信平台发送欺骗性的信息指向恶意手机APP的下载地址或是钓鱼网站,很容易导致个人信息被窃取。通过伪基站制造和利用诈骗短信、电话以及手机病毒是这类电信诈骗分子和黑客最常用的手段。

在移动应用层,消费者、开发者、应用商店、垂直类专用应用(银行、第三方支付、运营商)等都已经成为不法分子攻击的对象。例如,已经有不少旅游类的手机APP被植入恶意插件。一旦用户下载并安装,这些软件就会强制联网,并且私自下载未知软件,窃取用户通讯录、短信、照片等隐私信息,还可能使用基于位置的服务推送特定的广告,造成用户流量的快速消耗。又比如,时下很火的打车软件随便就将乘客手机号码、住址、工作地点等信息泄露给司机,一旦产生纠纷,乘客很容易遭到骚扰、威胁和报复。

在移动网络层,公共或免费WiFi可能潜伏安全陷阱。如今人们喜欢走到哪都搜WiFi,搜到公共网络信号后,输入手机号码,获得手机验证码,就能登录无线网络。此时,连接的WiFi热点若是黑客伪造的,用户手机就遭伪造WiFi接管,数据通信信息一目了然,很容易被窃取。面对价格不菲的手机数据漫游费,人们往往会选择使用免费WiFi接入点。然而,在开放的WiFi环境下,所有发送或接收到的数据均有可能被截获。

移动安全病毒危害不断

智能手机作为当前用户规模最大、增长速度最快的移动终端,已经成为移动安全领域最主要的攻击对象和威胁来源。据网秦云安全监测平台数据显示,2014年第一季度,手机恶意软件增长以2月份最为迅速,查杀到手机恶意软件共计15369款,同比增长96%。究其原因,2月份主要有两个病毒族a.fraud.FakeApps.GEN、a.rogue.ApXXPusher.GEN感染应用量增长较为迅速。a.fraud.FakeApps.GEN的主要危害是诱骗用户下载安装,进行广告推广;a.rogue.ApXXPusher.GEN的主要危害是未经用户允许私自下载大量推广软件,消耗用户流量,从而造成用户资费消耗。6月份查杀恶意软件共计18053款,以病毒串a.fraud.FakeApps.GEN感染用户最多,占当月感染用户数的23%。

手机病毒不再只是单一的应用内弹广告、后台上传用户隐私信息等,而是大胆地跳到了用户的锁屏界面,更加直接地勒索用户资费。如2014年6月份,网秦率先查杀了a.rogue.SimpleLocker.a(流氓之锁)病毒。该病毒的主要危害是流氓行为,手机感染病毒后,该软件可以开机自启;在手机中运行后,会强制使自身程序置顶,从而频繁弹出锁屏界面锁定用户屏幕;并且在锁屏界面勒索用户付费解锁,否则用户手机不能正常运行任何程序。同时,该病毒还具有后台联网行为,可能存在用户付费后进行远程解锁的恶意行为,给用户的手机造成安全隐患。

2014年上半年,诱骗欺诈类病毒以42%的比例位居首位,恶意扣费类和系统破坏类分别以14%、13%的比例位列第二、第三。从整体来看,2014年上半年的病毒仍以扣取用户费用为主,如病毒串a.fraud.FakeApps.GEN,主要表现在诱骗用户下载,推广广告,通过消耗手机流量对用户造成一定的经济损失。

移动安全威胁渠道多样

据网秦云安全监测平台数据显示,2014年上半年第三方应用商店仍然是手机病毒传播的主要途径,由于不少中小型电子市场依然处于不规范的阶段,使一些病毒制作者有机可乘。病毒制作者将被植入恶意代码的软件上传到应用商店,导致大部分手机用户由于无法辨别官方版与山寨版,很容易下载安装带病毒软件使得手机中毒。

相较于2013年上半年,手机论坛的传播比例稍有所上升,主要由于在国内越来越多的软件被病毒制作者二次打包,在软件中植入广告或恶意代码,然后上传至手机论坛混淆用户。

二维码渐成恶意软件新的传播途径。如二维码的转换可直接隐蔽其中的下载链接,通过手机等设备扫描时,极易下载到恶意应用,落入黑客设置的陷阱之中,导致用户无意中下载、安装恶意软件。

网秦建议用户尽量选择已与安全厂商建立合作管理或者已建立安全认证机制的应用商店下载(如谷歌官方安卓电子市场Google Play Store、百度移动应用商店等)

移动互联网黑色利益链

当前,移动互联网黑色利益链错综复杂,形成了以开发、传播、运营到最后利益整合分配的“一条龙”作业,并且已经完成从手工作坊式个人生产到集团化运作的规模性转变。手机App被病毒制作者二次打包的现象越来越多,并且大部分出现在一些知名软件或热门的手机游戏中,这是由于病毒制作者与非法广告渠道商已经形成了一条非常成熟的利益链条。

迫于短时营收的压力,许多APP开发商在没有找到更好的盈利模式之前,应用内置广告仍然是最直接的收入来源。他们惯于对知名软件进行反编译,插入恶意代码、广告代码等,然后再将软件重新打包,投放到第三方应用市场或论坛中。用户下载以后,在用户的手机中会以通知栏提醒、悬浮窗提醒、广告展示等多种形式诱导用户点击,同时还窃取用户的隐私信息并上传,或者在后台静默下载各种软件。通过用户点击广告、后台下载软件产生非法推广利益以后,病毒制作者与非法广告渠道商进行收入分成。

打造立体移动安全生态体系

移动安全包括三大层面,终端层、网络层以及业务层。其中,终端层作为移动安全基础层,包括硬件芯片(终端硬件芯片可信技术、终端虚拟化)、移动操作系统(终端操作系统安全机制、终端操作系统加固)和终端应用(终端应用安全防护、安全工具开发)。

目前,在硬件芯片和终端应用方面我国已经有了成熟的技术,然而在移动操作系统方面,缺乏能够实现国产自主可控的移动操作系统。

移动互联网环境的复杂性决定了任何一家企业都无法单独承担安全的重大责任。对政府而言,需要促进标准、规范立法,加强安全监管;对安全厂商、服务商而言,需要整合优秀服务资源,提供安全可靠的应用业务;对电信运营商而言,需要通过用户、大数据资源等优势资源,整合产业技术实力,加强基础设施建设;对设备商而言,需要开展基于硬件设备的安全解决方案,提高自主可控性。同时,研发国产自主可控的移动操作系统也成为移动安全迫在眉睫关键性问题。

操作系统防护是应对移动安全的重要措施

移动操作系统作为移动安全的基石,其安全机制设计直接决定了智能终端整体的安全水平。

目前,针对android和iOS系统的移动安全解决方案主要集中在应用层,主要是针对于app、手机病毒等安全防护,仅仅是治标,尚不能治本。在andriod和iOS系统中,因为系统超级用户的存在,使得很多病毒和恶意应用利用“一键root”和“越狱”等方式滋生繁衍;非此即彼的“全部允许”和“取消安装”的授权方式,使得用户无法精确管理应用的权限,只能被动接受;应用市场在恶意代码检测、开发者实名认证方面等安全保障方面的投入还远远不够,这也增加了移动设备的安全隐患。

针对移动信息安全中暴露出的问题,以元心为代表的国产移动操作系统在设计伊始,就确立了root分权、数据隔离和多重访问控制等安全原则,并在开发过程中得到了贯彻执行:彻底消灭“超级用户”,通过“四权分制”达到权限“制约平衡”;设立专门的数据隔离区域,采用加密方式存储敏感数据,即使设备丢失,也很难破解和恢复其中的敏感数据;对于敏感权限,由用户自主控制第三方应用的安全开启,应用权限实现由用户态到系统内核态的贯穿性控制;支持多因子鉴权机制,可以通过指纹、特征设备等方式识别机主,有效防止陌生人对设备的访问。

除了整体安全设计,围绕元心系统的安全生态系统也初具规模,包括恶意代码检测引擎、应用安全测评引擎、安全应用商店、安全加密语音服务、企业移动办公安全管理服务等,建立了从技术安全防护和可靠流程管理的立体安全防护体系,可以满足不同业务规模、不同安全级别的客户的移动安全保障需求。

从根本上而言,国产移动操作系统自主、可控、安全的特性,更加适应未来移动互联网发展的需求。