关于智能手机安全问题的若干思考.pdfVIP

誊，● 数据通信 2012．2 关于智能手机安全问题的若干思考 一 一 一 一 ～ 胡爱群 (东南大学信息安全研究中心 南京210096) 摘 要：智能手机由于其内置嵌入式操作系统，用户可以自由下载和安装软件，其安全问题更加突出。主 要表现在易被植入病毒或恶意代码造成用户信息泄露、被远程操控对网络发起攻击，易被植入或被捆绑吸费 软件造成用户额外支付费用等。如何解决这些问题，既需要技术上的支持，更离不开相关部门的有效管理。文 章从技术体系角度，分析了智能手机安全问题的成因，给出了解决问题的若干建设性建议。 关键词：智能手机；信息安全；合法性和完整性 1引言 用会导致移动终端被远程控制；(2)应用软件来源不 随着3G移动通信和WLAN热点覆盖的普及应 明或假冒来源，用户在下载和运行这些应用软件时 用，移动互联网已成为信息通信产业中发展最快、创 又很盲 目，并不确知这些软件将执行何种操作，不知 新最活跃的领域。智能手机作为移动网络的主要接 道是否应该信任这些软件 ，也没有渠道让他们正确 人终端，其数量巨大，且可随时随地的接入互联网1]【。 地获取对这些软件的信任；(3)智能手机存在多种无 智能手机 日益凸显的安全问题，不仅威胁到终端本身 线接入方式，包括GPRS／3G、WLAN、Bluetooth等，接入 的安全，而且危及移动网络和互联网的运营安全圈。一 鉴权机制上存在不一致性，如通常很多场合的WLAN 方面，互联网上原有的恶意程序传播 、远程控制 、网 网络无需鉴权就可接入，Bluetooth的接入认证码常设 络攻击等传统网络安全威胁向移动互联网快速蔓 置简单，用户经常无暇顾及接入安全或顾此失彼，为 延 。据中国反网络病毒联盟统计 ，截至2011年10月， 攻击者入侵移动终端打开了方便之门。本文将对上 国内累计发现移动互联网恶意程序4500余种，并呈 述问题进行简要分析，并给出解决问题的建议。 加速增长趋势。2011年5月初 ，大量被 “毒媒”恶意软 件控制的移动终端向国内某业务网站发起拒绝服务 2 智能手机的安全隐患及其成因分析 攻击 ，造成该网站一度瘫痪 。另一方面，由于移动互 2-1智能手机软硬件体系结构 联网终端和业务与用户利益密切相关，恶意吸费、窃 要分析智能手机的安全隐患，需要从其软硬件 取用户信息、诱骗欺诈等恶意行为的影响和危害更 体系结构谈起。图1给出了典型的智能手机软硬件体 加突出。据国家计算机网络应急技术处理协调中心 系结构，由资源层、管理与执行层以及应用层组成。 抽样监测显示 ，感染 “手机骷髅”恶意程序的手机被 其中资源层包含了RAM、ROM、FLASH、无线漠块等在 控制大量发送彩信，诱骗其他用户下载此病毒，在此 内的所有存储和接 口资源；管理与执行层包含操作 过程中会造成被感染的手机产生大量通信费用嘲。 系统和CPU，操作系统负责承接应用层的任务，透过 智能手机出现上述安全 问题的根源在于：(1)操 CPU的指令执行功能访问资源层的资源；应用层则是 作系统 、应用软件存在安全漏洞，这些漏洞一旦被利 由各种应用软件组成，其 目的是通过读写资源层的 2一2一 I本课题的研究受国家863计划课题 “移动终端安全技术研究 (2009AA01Z427)”资助。 收稿 日期：2012—02—22 ‘ 万方数据 塑塑堡 一 — — 一Perl 塞 资源达到各种应用。 在不被察觉的情况下窃取了用户的重要信息。 2．3应用软件的漏洞及其被利用的例子 回 国 ………圈 应用层 金山安全中心在2011年9月发布了多款手机管 理软件存在的wi—Fi