移動(dòng)設(shè)備安全性分析

一、智能移動(dòng)設(shè)備近年來，隨著移動(dòng)通信技術(shù)的快速發(fā)展，移動(dòng)通信設(shè)備市場(chǎng)繁榮。據(jù)分析，2011年底，美國(guó)移動(dòng)設(shè)備中的智能手機(jī)利用率超過50%，世界其他國(guó)家和地區(qū)的發(fā)展趨勢(shì)也相似。智能手機(jī)用戶的數(shù)量預(yù)計(jì)在未來幾年將顯著增加。智能移動(dòng)設(shè)備指的是安裝有移動(dòng)操作系統(tǒng)的移動(dòng)設(shè)備,市面上主流移動(dòng)操作系統(tǒng)有Android、iOS、黑莓OS(RIM)、Symbian和WindowsPhone等,功能已經(jīng)與傳統(tǒng)的PC操作系統(tǒng)類似。因此,移動(dòng)平臺(tái)也將面臨與PC操作系統(tǒng)類似的惡意攻擊,比如蠕蟲、特洛伊木馬以及網(wǎng)絡(luò)接入攻擊等。根據(jù)近年來的安全報(bào)告,2011年被攻擊或疑似被攻擊的智能移動(dòng)設(shè)備數(shù)量急劇上升。隨著技術(shù)的發(fā)展,移動(dòng)設(shè)備的數(shù)據(jù)處理能力增強(qiáng)及存儲(chǔ)空間擴(kuò)大,在移動(dòng)設(shè)備上運(yùn)行網(wǎng)絡(luò)社交軟件、電子郵件客戶端等應(yīng)用程序成為可能,越來越多的用戶隱私數(shù)據(jù)存儲(chǔ)在移動(dòng)設(shè)備上,這也成為移動(dòng)設(shè)備被攻擊的主要原因。二、中心安全威脅模型為了描述移動(dòng)設(shè)備面臨的安全威脅,我們提出以攻擊者為中心的安全威脅模型。通過分析攻擊者的攻擊目標(biāo)、動(dòng)機(jī)以及采用的攻擊方法及策略,我們將威脅模型分為三部分:攻擊目的、攻擊方式和攻擊工具。(一)備正常運(yùn)行類攻擊者的目的可以劃分為收集用戶隱私數(shù)據(jù)、使用移動(dòng)設(shè)備計(jì)算資源以及破壞設(shè)備正常運(yùn)行等三種類型。前兩種攻擊目的通常是在盡量減少對(duì)設(shè)備操作系統(tǒng)的破壞、用戶無法偵測(cè)的情況下完成,不會(huì)明顯影響設(shè)備的正常運(yùn)行;最后一種攻擊是以破壞設(shè)備安裝的操作系統(tǒng)或應(yīng)用系統(tǒng)為目的,可能會(huì)導(dǎo)致設(shè)備無法正常運(yùn)行。(二)利用移動(dòng)網(wǎng)絡(luò)服務(wù)、利用互聯(lián)網(wǎng)接入對(duì)移動(dòng)設(shè)備的攻擊方式多種多樣。我們將其分為四大類:利用移動(dòng)網(wǎng)絡(luò)服務(wù)、利用互聯(lián)網(wǎng)接入、利用藍(lán)牙、利用USB及其他外圍設(shè)備接入。其中利用移動(dòng)網(wǎng)絡(luò)服務(wù)指的是攻擊者利用網(wǎng)絡(luò)服務(wù)如短信、彩信和語言通話等進(jìn)行攻擊。利用互聯(lián)網(wǎng)接入指的是攻擊者通過Wi-Fi或3G/4G網(wǎng)絡(luò),對(duì)移動(dòng)設(shè)備的攻擊。移動(dòng)設(shè)備通常會(huì)通過USB以存儲(chǔ)模式與個(gè)人PC連接,這時(shí)傳統(tǒng)的USB惡意程序就會(huì)派上用場(chǎng)。(三)pc安全與移動(dòng)平臺(tái)安全威脅由于移動(dòng)平臺(tái)變得愈來愈像傳統(tǒng)的PC操作系統(tǒng),移動(dòng)平臺(tái)也面臨著與PC類似的安全威脅。我們將討論常見的移動(dòng)惡意程序,事實(shí)上攻擊通常是將其中的幾種攻擊手段結(jié)合起來使用。1.用戶不知情時(shí)通過使用特洛伊木馬,攻擊者會(huì)獲取移動(dòng)設(shè)備的控制權(quán)。此類惡意程序一般都在用戶不知情時(shí)運(yùn)行以實(shí)現(xiàn)某些特定功能。如果攻擊成功,特洛伊木馬就會(huì)收集移動(dòng)設(shè)備中的用戶隱私數(shù)據(jù),或在移動(dòng)設(shè)備中安裝其他惡意程序,如蠕蟲或僵尸網(wǎng)絡(luò)控制程序等。2.ledac簡(jiǎn)介僵尸網(wǎng)絡(luò)是指由被感染的設(shè)備組成的能被遠(yuǎn)程控制的網(wǎng)絡(luò)。著名的Waledac,就是運(yùn)行在移動(dòng)設(shè)備中的僵尸網(wǎng)絡(luò)控制程序。即使這些被控設(shè)備沒有連接到互聯(lián)網(wǎng)上,Waledac使用短信或彩信也能實(shí)現(xiàn)被控設(shè)備之間的信息交換,以保持被控設(shè)備與控制端之間的聯(lián)系。3.syn東南角攻擊系統(tǒng)蠕蟲是一種能自我復(fù)制、自動(dòng)感染系統(tǒng)的惡意程序。Cabir是一款基于SymbianS60操作系統(tǒng)、通過藍(lán)牙實(shí)現(xiàn)攻擊的蠕蟲。Lkee.B是最近發(fā)現(xiàn)的、針對(duì)移動(dòng)平臺(tái)的蠕蟲,該蠕蟲主要針對(duì)越獄的iPhone,用以收集手機(jī)中的賬號(hào)等用戶敏感數(shù)據(jù)。4.特洛伊木馬木馬是一種以獲取設(shè)備最高權(quán)限為目的的惡意程序。此類惡意程序通過修改標(biāo)準(zhǔn)操作系統(tǒng)功能組件以實(shí)現(xiàn)自身的隱藏。三、android權(quán)限及權(quán)限分配策略Android是一種應(yīng)用于智能移動(dòng)設(shè)備的操作系統(tǒng)平臺(tái),基于開源軟件Linux,由操作系統(tǒng)、中間件、用戶界面和應(yīng)用程序組成。Android提供了基于C/C++系統(tǒng)庫(kù)的API接口,為應(yīng)用程序提供底層系統(tǒng)服務(wù)。這就意味著,應(yīng)用程序開發(fā)過程中,可集成系統(tǒng)自帶的某些功能組件,如內(nèi)建web瀏覽器或mail客戶端等。惡意程序可通過系統(tǒng)自帶組件獲取用戶隱私數(shù)據(jù)、感染其他應(yīng)用程序、破壞操作系統(tǒng)等。為了防止此類事件發(fā)生,Android操作系統(tǒng)設(shè)置了基于權(quán)限的安全策略模型,如圖1所示。Android應(yīng)用程序在指定沙箱下隔離運(yùn)行。這就意味著,任何應(yīng)用程序只能在被分配的環(huán)境中孤立執(zhí)行,而不會(huì)影響或修改其它正在運(yùn)行的應(yīng)用程序。為了使用標(biāo)準(zhǔn)Linux的文件權(quán)限管理策略,每個(gè)Android應(yīng)用程序在安裝的時(shí)候被指定唯一ID號(hào)。每個(gè)文件與其所有者的ID號(hào)關(guān)聯(lián),除非授權(quán),否則應(yīng)用程序無法訪問屬于其他應(yīng)用程序的文件。文件的權(quán)限分為讀、寫和執(zhí)行,管理員用戶(root)擁有系統(tǒng)文件的讀寫權(quán)限,應(yīng)用程序無權(quán)訪問或修改系統(tǒng)關(guān)鍵文件。為了實(shí)現(xiàn)內(nèi)存隔離,每個(gè)應(yīng)用程序都會(huì)被分配一塊獨(dú)立的內(nèi)存區(qū)域。通過這些安全策略,應(yīng)用程序即使使用了系統(tǒng)自帶組件,也不會(huì)對(duì)系統(tǒng)安全造成影響。隔離措施為應(yīng)用程序的執(zhí)行提供了一個(gè)安全的運(yùn)行環(huán)境。然而,嚴(yán)格的安全策略也限制應(yīng)用程序的功能。此外,應(yīng)用程序之間的數(shù)據(jù)交互需求也為操作系統(tǒng)的應(yīng)用框架層提出了更高的要求。共享ID以及權(quán)限授予是兩種用于突破Android安全策略的方法。如圖1所示,兩個(gè)應(yīng)用程序通過共享ID實(shí)現(xiàn)了數(shù)據(jù)及應(yīng)用程序組件的互用。共享ID可通過指定相同的數(shù)字證書來實(shí)現(xiàn)。事實(shí)上,開發(fā)者通過在不同的應(yīng)用程序中使用相同密鑰的方式,來規(guī)避應(yīng)用程序隔離運(yùn)行的安全策略。除了共享ID之外,權(quán)限分配策略也被用于實(shí)現(xiàn)數(shù)據(jù)及組件的互用。這就意味著,通過授權(quán),一個(gè)應(yīng)用程序能訪問其他應(yīng)用程序的組件或數(shù)據(jù)以及系統(tǒng)庫(kù)。應(yīng)用程序在安裝時(shí)提出權(quán)限需求,由用戶授權(quán),之后不允許改變。根據(jù)潛在的風(fēng)險(xiǎn)級(jí)別,Android平臺(tái)將權(quán)限分為四大類:正常類(Normal)、危險(xiǎn)類(Dangerous)、簽名類(Signature)和簽名或系統(tǒng)類(Signature-or-System)。正常類(Normal)指的是低風(fēng)險(xiǎn)、不會(huì)對(duì)系統(tǒng)、用戶或其他應(yīng)用程序造成危害的權(quán)限。在安裝的時(shí)候一般不需要用戶進(jìn)行權(quán)限授予;危險(xiǎn)類(Dangerous)指的是具有高風(fēng)險(xiǎn)、危及用戶隱私數(shù)據(jù)及系統(tǒng)安全的權(quán)限。需要此類權(quán)限的應(yīng)用程序在安裝時(shí),會(huì)提示用戶,由用戶決定是否安裝;簽名類(Signature)指的是具有相同的數(shù)字證書的應(yīng)用程序能共享權(quán)限;簽名或系統(tǒng)類是對(duì)簽名類(Signature)權(quán)限的擴(kuò)展,包括了系統(tǒng)鏡像中的應(yīng)用程序,這一級(jí)別適用于非常特殊的情況,比如多個(gè)供應(yīng)商需要通過系統(tǒng)影像共享功能時(shí)。四、應(yīng)用程序驗(yàn)證與Android平臺(tái)不同,蘋果iOS平臺(tái)采用的是另一種安全策略,以實(shí)現(xiàn)設(shè)備安全及設(shè)備中的用戶數(shù)據(jù)安全,即只有從蘋果官方網(wǎng)站的應(yīng)用程序商店下載的應(yīng)用程序,才能在iOS平臺(tái)上運(yùn)行。第三方開發(fā)的任何應(yīng)用程序,必須先提交試用版本,經(jīng)專業(yè)開發(fā)人員進(jìn)行代碼級(jí)審核,確認(rèn)無安全威脅之后,才能上傳到蘋果官方網(wǎng)站的應(yīng)用程序商店。無需用戶授權(quán),安裝在iOS平臺(tái)上的應(yīng)用程序可獲取移動(dòng)設(shè)備的所有權(quán)限,Android在安裝時(shí)通過權(quán)限要求提示,讓用戶自行決定是否安裝該應(yīng)用程序,iOS則是要求開發(fā)者開發(fā)安全的應(yīng)用程序,并經(jīng)審核后才進(jìn)入市場(chǎng),這樣可以最大程度的阻止惡意程序進(jìn)入蘋果應(yīng)用程序商店。五、下載惡意程序進(jìn)行攻擊本節(jié)列舉了運(yùn)行在Android操作系統(tǒng)上的惡意程序如何騙過用戶、獲取敏感數(shù)據(jù)。Android操作系統(tǒng)的基于權(quán)限的安全策略,由用戶決定是否安裝來自不信任源的應(yīng)用程序,致使移動(dòng)設(shè)備使用者成為安全管理的關(guān)鍵要素。因此,如何誘使用戶安裝一個(gè)帶有惡意代碼的應(yīng)用程序,是攻擊成功的關(guān)鍵。圖2講述了通過網(wǎng)絡(luò)進(jìn)行惡意程序植入到Android操作系統(tǒng)的例子。由圖2可知,整個(gè)過程分為四部分:攻擊者、社交網(wǎng)站、應(yīng)用程序商店以及用戶群。首先,攻擊者將帶有惡意代碼的應(yīng)用程序上傳到應(yīng)用程序商店(1)。由于Android應(yīng)用程序并沒有經(jīng)過代碼級(jí)的檢測(cè),帶有惡意代碼的應(yīng)用程序可被上傳到應(yīng)用程序商店。攻擊者在社交網(wǎng)絡(luò)(如Twitter或Facebook)中推薦該應(yīng)用程序,并附上鏈接(2)。攻擊者可以設(shè)置惡意程序的具體位置,不一定是商店的地址,通過使用URL縮略,能屏蔽真實(shí)地址。當(dāng)用戶點(diǎn)擊該鏈接(3),會(huì)被自動(dòng)重定向到能下載該惡意程序的位置(4)。最后,用戶下載該惡意程序并安裝(5)。就這樣惡意程序成功進(jìn)入移動(dòng)設(shè)備。例如,某帶有惡意代碼的天氣預(yù)報(bào)應(yīng)用程序攻擊示意圖如圖3所示。天氣預(yù)報(bào)應(yīng)用程序是個(gè)特洛伊木馬,表面上根據(jù)用戶的位置信息,提供天氣預(yù)報(bào),實(shí)際上卻將用戶的位置信息發(fā)送到遠(yuǎn)程服務(wù)器上。安裝時(shí),應(yīng)用程序提醒用戶需要以下權(quán)限:網(wǎng)絡(luò)連接、位置信息、手機(jī)狀態(tài)及標(biāo)識(shí)信息。用戶通過判別權(quán)限申請(qǐng)的合理性來決定是否安裝應(yīng)用程序。在本例中,邏輯分析發(fā)現(xiàn),為了實(shí)現(xiàn)天氣預(yù)報(bào)的功能,需要網(wǎng)絡(luò)訪問權(quán)限。此外,位置信息也是該應(yīng)用程序正常運(yùn)行所必須的,只有在獲取到位置信息之后,應(yīng)用程序才能有針對(duì)性的獲得當(dāng)前位置的天氣情況。“手機(jī)狀態(tài)及身份標(biāo)識(shí)信息”權(quán)限是可疑的,但是許多應(yīng)用程序都需要該權(quán)限,以判別手機(jī)當(dāng)前狀態(tài)。例如,音樂播放程序利用該權(quán)限判別手機(jī)是否處于通話狀態(tài),以決定是否暫停音樂播放。由于此類權(quán)限被廣泛使用,當(dāng)應(yīng)用程序申請(qǐng)授權(quán)的時(shí)候,用戶一般不會(huì)懷疑。通過獲取“手機(jī)狀態(tài)和身份標(biāo)識(shí)信息”權(quán)限,該程序就能將位置信息與用戶身份關(guān)聯(lián),攻擊者就能很容易的監(jiān)控移動(dòng)設(shè)備使用者的移動(dòng)軌跡。六、基于權(quán)限的安全模型移動(dòng)通信技術(shù)的發(fā)展使移動(dòng)設(shè)備遭受惡意攻擊的幾率不斷增加。本文描述了針對(duì)移動(dòng)平臺(tái)的、以攻擊者為中心的威脅模型,分析了攻擊者的目標(biāo)、攻擊手段以及攻擊策略;分析了Android和iOS這兩款被廣泛使用的移動(dòng)平臺(tái)的安全模型。通