智能手機安全分析

江蘇省通信管理局 劉永清 任光裕

智能手機安全分析

江蘇省通信管理局 劉永清 任光裕

背景

在2014年3·15晚會上，央視曝光了大量智能手機被經銷商預裝了惡意軟件，導致手機被定制莫名服務、惡意扣費，泄露用戶個人隱私等。央視調查顯示，北京鼎開互聯公司通過手機植入式服務平臺，為手機經銷商量身訂作手機裝機軟件，他們把軟件預安裝在行貨手機中，大部分用戶由于擔心保修問題一般不敢刪除這些預裝軟件，該公司每月預裝130萬部手機，僅預裝業務為北京鼎開互聯公司每月帶來不菲的違法收入。

央視還曝光了另一家互聯網公司——大唐高鴻，該公司擁用4604家加盟代理商，每月安裝100萬部以上的手機，已安裝手機超過4600萬部，預安裝百度搜索、酷我音樂、新浪新聞等17款流行軟件，手機經銷商每安裝一款軟件可以從大唐高鴻獲得0.7-3元不等的收入。這些被預裝軟件的手機在使用后，通過部分違規軟件可以監測用戶使用情況，通過隱藏的自動開啟的后臺程序獲取IMEI、MAC地址等手機設備信息及手機型號、手機應用軟件列表，監控手機軟件的應用時間、網絡流量等信息，并將這些信息發送到大唐高鴻的官網服務器，這一行為侵犯了手機用戶的個人隱私。

移動互聯網發展現狀

央視報道的經銷商預植入軟件只是手機感染惡意程序的一種方式，這些惡意程序無孔不入，除了手機的生產、銷售環節外，手機應用商店、論壇下載站點等都可能成為手機感染惡意程序的主要途徑。根據《2013年度江蘇省互聯網網絡安全報告》統計，2013年，僅江蘇省就發生520,928,965起移動互聯網惡意程序事件，平均每月有872,458個用戶感染惡意程序。其中，安卓平臺全年共有6,951,835個用戶感染，占被感染用戶總數的66.40%。

為什么智能手機感染惡意程序數量呈爆發式增長，這與移動互聯網普及帶動智能手機快速增長密切相關。根據中國互聯網絡信息中心（CNNIC）發布的第34期《中國互聯網絡發展狀況統計報告》顯示，截至2014年6月，中國網民規模達6.32億，其中，手機網民規模5.27億，互聯網普及率達到46.9%。網民上網設備中，手機使用率達83.4%，首次超越傳統PC整體80.9%的使用率，手機已成為第一大上網終端。工信部發布數據顯示，2011、 2012年，我國智能終端出貨量分別為1.18 億、2.24 億部，2013年前11個月的我國智能手機出貨量為3.48 億部。

手機惡意程序的定義

隨著移動互聯網逐步普及，部分心懷不軌的人開始盯上智能手機，通過編寫惡意軟件，并通過各種方式潛伏在用戶的終端上，獲取用戶的隱私信息，或者肆意定制付費業務等，以此獲得不正當的收入。根據通信行業標準《移動互聯網惡意程序描述格式》（YD/T 2439-2012）規定，移動互聯網惡意程序主要分為惡意扣費、隱私竊取、遠程控制、惡意傳播、資費消耗、系統破壞、誘騙欺詐、流氓行為等八大類型。

1、惡意扣費

惡意扣費是手機惡意軟件中最常見的行為，在用戶不知情或未授權情況下，通過隱蔽執行、欺騙用戶點擊等手段，訂購各類收費業務或使用手機支付，導致用戶經濟損失。惡意扣費的典型表現：1）自動訂購移動增值業務；2）自動訂購收費業務；3）自動利用手機支付功能進行消費；4）直接扣除用戶資費。[1]

2、隱私竊取

隱私竊取是近年來常見的一種手機安全威脅，惡意軟件在用戶不知情或未授權的情況下，獲取涉及用戶隱私信息。隱私竊取類軟件的典型表現：1）獲取短信、彩信、郵件、通訊錄以及通話記錄等內容；2）獲取地理位置、手機號碼等信息；3）獲取本機已安裝軟件、各種賬號、各類密碼等信息。4）通過手機使用網銀、支付寶、微信、QQ等業務，各類賬號都存在被盜用的風險。

3、遠程控制

遠程控制是PC和手機安全威脅中常見的一種形式，在用戶不知情或未授權的情況下，通過控制端控制一個或多個受控端，對受控端進行遠程操作，用戶的手機一旦被遠程控制，將面臨群發短信、惡意扣費、下載病毒等威脅。遠程控制行為的典型表現：1）由控制端主動發出指令進行遠程控制；2）由受控端主動向控制端請求指令。

4、惡意傳播

在用戶不知情或未授權的情況下，通過復制、感染、投遞、下載等方式將自身及衍生物或其它移動互聯網惡意代碼進行擴散的行為。惡意傳播類惡意軟件行為典型特征：1）發送包含惡意代碼鏈接的短信、彩信、郵件等；2）利用藍牙、紅外、無線網絡通訊技術向其它移動終端發送惡意代碼；3）下載惡意代碼、感染其它文件、向存儲卡等移動存儲設備上復制惡意代碼。

5、資費消耗

在用戶不知情或未授權的情況下，通過自動發送短信、彩信、郵件、連接網絡等方式，導致用戶資費損失。資費消耗類惡意軟件典型特征：1）自動發送短信、彩信、郵件；2）自動連接網絡，產生網絡流量。

6、系統破壞

手機的惡意程序被激發后，就可能進行破壞活動，輕者加劇手機耗電、降低運行速度，重者使手機中的重要文件、數據被肆意篡改或全部丟失，甚至使整個手機系統癱瘓。系統破壞類惡意軟件典型特征：1）卸載手機中的其他軟件；2）刪除、修改或者破壞手機中的數據；3）破壞手機的操作系統。

7、誘騙欺詐

誘騙欺詐類惡意軟件通常帶有隱私獲取的特征，通過偽裝成系統組件、應用軟件或游戲軟件誘騙用戶下載安裝后，或進行廣告推廣，或竊取、收集用戶手機IMEI號或MAC地址等固件信息，造成用戶隱私泄漏。誘騙欺詐類惡意軟件典型特征：1）通過偽裝誘騙用戶下載安裝；2）推送廣告信息；3）竊取用戶隱私。

8、流氓行為

一般是指在用戶不完全知情和認可（包括未經用戶許可、強迫引導用戶許可或隱瞞關鍵信息等）的情況下強行安裝惡意軟件到用戶手機中，或者一旦安裝就無法正常卸載和刪除，進而強行彈出廣告，強迫用戶接受某些操作。流氓行為類惡意軟件典型特征：1）強行用戶安裝；2）用戶無法以正常的手段卸載和刪除；3）彈出式廣告或以其他形式進行廣告宣傳。

手機惡意程序的檢測

針對全球日益嚴重的手機安全問題，越來越多的移動互聯網安全廠商開始研究手機惡意軟件的檢測方法，提升移動互聯網的使用安全。

1、專業人員檢測方法

目前通常有兩種主流的惡意軟件檢測方法是：基于特征代碼的檢測和基于行為的檢測。[2]

（1）基于特征代碼的檢測方法需要從惡意軟件中提取出若干段具有唯一性、固定性的字節碼作為該惡意軟件的特征，并通過大量的惡意軟件樣本構建特征庫，通過特征庫中的特征串去檢測待測文件或內存，發現匹配項則可判斷目標感染了惡意代碼。基于特征代碼的檢測方法具有效率高、誤報率低等優點，但是無法檢測到新型的惡意程序。

（2）基于行為的檢測方法依靠監視程序的行為，與已知的惡意行為模式進行匹配，來判斷目標程序是否具備惡意趨向。基于行為的檢測方法具有特征庫小、無需頻繁更新等優點，并能夠檢測到未知惡意程序。

2、普通用戶檢測方法

雖然手機惡意軟件的檢測是一項非常專業的技術工作，但是作為普通的智能終端用戶，通過觀察手機運行狀況也能夠大致判斷手機是否感染惡意軟件。

（1）在手機任務管理器中查看手機到底運行了哪些軟件，根據軟件的運行情況初步識別惡意軟件；

（2）打開手機流量監控，查看哪些軟件消耗的流量特別多，對于自己沒有安裝且流量消耗高的軟件，則需認真辨別是不是惡意軟件；

（3）查詢電話賬單，查看每個月通信消費的詳細情況，從中判斷自己是否有被惡意扣費；

（4）借助第三方軟件，如360手機衛士等，對手機的自啟動應用、授權root應用等進行全面檢查，進一步判斷手機中是否有惡意軟件。

避免感染惡意程序的建議

惡意軟件在智能手機的生產、銷售、使用等過程的任一環節都可能被植入安裝，因此，智能手機用戶應警惕這些惡意軟件的傳播渠道，養成良好的手機使用習慣，是能夠做到遠離手機惡意軟件的，為此提出以下建議供參考：

（1）普及智能手機安全常識，注意保護個人隱私；

（2）不要購買水貨和無入網許可的手機；

（3）不要隨意點擊短信、彩信中鏈接；

（4）不要輕易掃描陌生的二維碼；

（5）不要在公共場所使用缺乏信譽度的免費WIFI；

（6）不要接受陌生藍牙、紅外等無線連接請求；[1]

(7)去官方手機應用商店和知名手機軟件站點下載軟件；

(8)安裝專業的手機安全軟件，對手機進行安全加固；

(9)經常查看話費清單，檢查流量有無異常。

結束語

移動通信網絡進入4G時代，智能手機正在快速取代傳統手機，隨著手機各種應用的普及，手機惡意軟件也朝著多樣化、隱蔽性方向發展，手機惡意軟件的表現與電腦病毒木馬的表現也越來越相似。[1]由于智能手機不可避免的將存儲越來越多的商業秘密和個人隱私等敏感信息，也將面臨更大的安全威脅。作為普通智能手機用戶必須要了解一定的惡意軟件甄別方法，同時養成良好的手機使用習慣，避免或減少自身的損失和危害。

[1] 金山手機安全中心, 中國手機惡意軟件分析報告, 2011.03

[2] 童振飛,楊庚. Android平臺惡意軟件的靜態行為檢測. 江蘇通信, 2011.02