Android智能機(jī)頂盒的安全分析與研究

毛澤杰，吳蔚華

(國(guó)家廣播電視產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心，北京 100015)

Android智能機(jī)頂盒的安全分析與研究

毛澤杰，吳蔚華

(國(guó)家廣播電視產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心，北京 100015)

摘要:目前國(guó)內(nèi)大多數(shù)智能機(jī)頂盒采用Android系統(tǒng)。Android系統(tǒng)最大的特點(diǎn)是開(kāi)放性，這使得Android智能機(jī)頂盒面臨嚴(yán)峻的安全形勢(shì)。為了保證Android智能機(jī)頂盒的安全性，首先給出了Android智能機(jī)頂盒的定義，概述了智能機(jī)頂盒的安全現(xiàn)狀，然后從整個(gè)產(chǎn)業(yè)鏈的角度對(duì)智能機(jī)頂盒的安全問(wèn)題進(jìn)行了分類，詳細(xì)分析了智能機(jī)頂盒的安全威脅來(lái)源，最后詳細(xì)介紹了智能機(jī)頂盒的安全防護(hù)策略。

關(guān)鍵詞:智能機(jī)頂盒；信息安全；Android系統(tǒng)

隨著三網(wǎng)融合的不斷深入，彩電行業(yè)經(jīng)歷著巨大的變革。視頻編解碼技術(shù)的提升，顯示技術(shù)更新?lián)Q代，智能操作系統(tǒng)的普及，以及網(wǎng)絡(luò)帶寬的提升，電視已經(jīng)正式步入了高清化、智能化、網(wǎng)絡(luò)化時(shí)代。

智能機(jī)頂盒是智能電視的一種產(chǎn)品形態(tài)，由于價(jià)格低廉、功能豐富、使用方便，深受使用者的喜愛(ài)。目前，國(guó)內(nèi)的智能機(jī)頂盒基本都采用Android系統(tǒng)。Android智能機(jī)頂盒是指除具備傳統(tǒng)電視機(jī)頂盒功能外，搭載了高性能的處理芯片，配備了Android操作系統(tǒng)，擁有豐富的應(yīng)用軟件平臺(tái)和內(nèi)容平臺(tái)，并且可以自由安裝、卸載應(yīng)用軟件，可以對(duì)系統(tǒng)軟件進(jìn)行更新，滿足用戶個(gè)性化和多樣化需求的產(chǎn)品。

然而，由于Android系統(tǒng)的開(kāi)放性，在給人們生活帶來(lái)娛樂(lè)與方便的同時(shí)，也將安全問(wèn)題引入了電視領(lǐng)域，非法刷機(jī)、非法內(nèi)容播放、安裝非法應(yīng)用軟件、用戶數(shù)據(jù)的丟失和篡改等問(wèn)題使得智能機(jī)頂盒的安全面臨著巨大的挑戰(zhàn)。

1智能機(jī)頂盒安全問(wèn)題分析

智能機(jī)頂盒是一個(gè)龐大的產(chǎn)業(yè)，涉及到內(nèi)容、應(yīng)用、網(wǎng)絡(luò)運(yùn)營(yíng)、終端等多個(gè)方面。分析與解決智能機(jī)頂盒的安全問(wèn)題需要從智能機(jī)頂盒產(chǎn)業(yè)鏈的整體環(huán)境著手。

1.1智能機(jī)頂盒的產(chǎn)業(yè)鏈

智能機(jī)頂盒產(chǎn)業(yè)鏈?zhǔn)且粋€(gè)多元化的系統(tǒng)，本文從應(yīng)用和內(nèi)容的維度將智能機(jī)頂盒產(chǎn)業(yè)鏈分為應(yīng)用、內(nèi)容、網(wǎng)絡(luò)、終端4個(gè)部分(見(jiàn)圖1)。

圖1　智能機(jī)頂盒產(chǎn)業(yè)鏈

1.2智能機(jī)頂盒的安全分類

智能機(jī)頂盒安全威脅就是采用各種手段，試圖利用系統(tǒng)的弱點(diǎn)、缺陷或漏洞，使得信息的私密性、完整性和可用性遭到破壞，并對(duì)用戶甚至國(guó)家安全造成嚴(yán)重后果。智能機(jī)頂盒的主要安全威脅有以下幾種情況[1]：

1)通過(guò)應(yīng)用軟件非正當(dāng)渠道獲取非法內(nèi)容。

2)第三方應(yīng)用攜帶木馬病毒。

3)竊取用戶的個(gè)人信息。

4)遠(yuǎn)程操控智能機(jī)頂盒。

5)破壞智能機(jī)頂盒的軟件或硬件系統(tǒng)。

6)用戶私有數(shù)據(jù)的丟失。

通過(guò)分析上述安全威脅，本文將智能機(jī)頂盒的安全進(jìn)一步分類為第三方應(yīng)用軟件安全、內(nèi)容安全、網(wǎng)絡(luò)安全、終端安全。

1.2.1第三方應(yīng)用軟件安全

由于國(guó)內(nèi)智能機(jī)頂盒采用的Android系統(tǒng)是開(kāi)源的，開(kāi)放的API接口使得任何的開(kāi)發(fā)者和企業(yè)都可以進(jìn)行第三方應(yīng)用的開(kāi)發(fā)。有些開(kāi)發(fā)者有目的性地引用一些木馬或者留有后門，還有些開(kāi)發(fā)者水平有限，開(kāi)發(fā)的應(yīng)用存在漏洞，被一些不法分子所利用。而各個(gè)應(yīng)用商店由于技術(shù)水平和監(jiān)管方式不盡一致，使得這些存在缺陷的應(yīng)用軟件進(jìn)入智能電視應(yīng)用商店。一旦用戶安裝并運(yùn)行這些應(yīng)用，用戶的個(gè)人信息、賬戶信息等隱私數(shù)據(jù)遭到嚴(yán)重威脅。

1.2.2內(nèi)容安全

智能機(jī)頂盒作為廣播電視播放的一種方式，搭載的內(nèi)容播控平臺(tái)必須經(jīng)過(guò)廣電總局批準(zhǔn)和認(rèn)可。目前廣電總局已經(jīng)批準(zhǔn)了七家內(nèi)容集成播控平臺(tái)和14家互聯(lián)網(wǎng)電視內(nèi)容平臺(tái)。但有些企業(yè)和互聯(lián)網(wǎng)站仍然將自己開(kāi)發(fā)的內(nèi)容平臺(tái)通過(guò)應(yīng)用的方式向用戶提供服務(wù)，其中就有一些自定義頻道、翻墻和使用代理服務(wù)器的功能，使得境外和威脅國(guó)家安全言論的節(jié)目直接面向用戶。

1.2.3網(wǎng)絡(luò)接入安全

智能機(jī)頂盒一般都是通過(guò)路由器連接到互聯(lián)網(wǎng)，互聯(lián)網(wǎng)是開(kāi)放的網(wǎng)絡(luò)，計(jì)算機(jī)網(wǎng)絡(luò)固有的缺陷會(huì)影響智能機(jī)頂盒安全。常見(jiàn)的有以下幾種：

WiFi網(wǎng)絡(luò)攻擊。WiFi是智能機(jī)頂盒常用網(wǎng)絡(luò)連接方式之一，而攻擊者可以利用無(wú)線網(wǎng)絡(luò)破解工具破解WiFi密碼從而連接到內(nèi)部網(wǎng)絡(luò)，通過(guò)掃描智能機(jī)頂盒獲取遠(yuǎn)程調(diào)試端口，從而通過(guò)該端口對(duì)智能機(jī)頂盒的系統(tǒng)進(jìn)行遠(yuǎn)程操作和控制。

ARP協(xié)議漏洞。攻擊者可以利用協(xié)議的漏洞，通過(guò)一些技術(shù)手段欺騙智能機(jī)頂盒、網(wǎng)關(guān)，從而對(duì)終端的數(shù)據(jù)進(jìn)行竊取，對(duì)用戶發(fā)送的數(shù)據(jù)進(jìn)行偵聽(tīng)，使得用戶的信息安全遭到嚴(yán)重威脅。

1.2.4終端安全

智能機(jī)頂盒終端可以分成多個(gè)層次，具體可以分為硬件層、系統(tǒng)層、用戶數(shù)據(jù)層、應(yīng)用層，詳細(xì)的系統(tǒng)結(jié)構(gòu)如圖2所示。

圖2　智能機(jī)頂盒終端結(jié)構(gòu)圖

智能機(jī)頂盒終端的安全可以分為硬件安全、系統(tǒng)安全、外圍接口安全、用戶數(shù)據(jù)安全。

1)硬件安全主要包括了電視芯片和智能芯片的安全，芯片的調(diào)試端口很可能被攻擊者所利用，從而控制終端，攻擊者可以遠(yuǎn)程操控智能機(jī)頂盒進(jìn)行任何操作。

2)系統(tǒng)安全指的是保護(hù)系統(tǒng)的數(shù)據(jù)和信息，拒絕未授權(quán)用戶的訪問(wèn)，拒絕未授權(quán)用戶對(duì)信息的修改，并有相應(yīng)的措施來(lái)檢測(cè)和屏蔽威脅，從而使系統(tǒng)達(dá)到最佳的安全程度。

3)外圍接口安全，智能機(jī)頂盒包含了多個(gè)外圍接口，常見(jiàn)的有HDMI、RJ-45、USB、音視頻接口、TF卡等接口，為用戶提供了多種外圍設(shè)備連接方式。用戶使用外部設(shè)備接口與智能機(jī)頂盒連接時(shí)，需要進(jìn)行提醒和確認(rèn)，同時(shí)防止外設(shè)中的病毒或木馬程序感染終端。

4)用戶數(shù)據(jù)安全包含以下3個(gè)方面：

(1)私密性是指只有被授權(quán)程序才能讀取或修改數(shù)據(jù)，未授權(quán)程序不能對(duì)數(shù)據(jù)進(jìn)行操作；

(2)完整性是指數(shù)據(jù)合法沒(méi)有被其他人篡改，所有的數(shù)據(jù)都是正確的狀態(tài)；

(3)可用性是指數(shù)據(jù)被請(qǐng)求訪問(wèn)時(shí)，系統(tǒng)能夠按照預(yù)定的性能級(jí)別提供訪問(wèn)服務(wù)。

2智能機(jī)頂盒安全防護(hù)策略

針對(duì)上述智能機(jī)頂盒的安全威脅，從應(yīng)用、內(nèi)容、網(wǎng)絡(luò)和終端4個(gè)方面，對(duì)上述威脅提出相應(yīng)的策略和解決方案。

2.1應(yīng)用軟件的安全性測(cè)試

Android系統(tǒng)的開(kāi)放性，使得任何開(kāi)發(fā)者都可以進(jìn)行應(yīng)用軟件的開(kāi)發(fā)，并通過(guò)應(yīng)用商店面向用戶。為了保證用戶下載及使用應(yīng)用軟件的安全性，需要對(duì)應(yīng)用軟件進(jìn)行安全檢測(cè)與分析。應(yīng)用軟件安全檢測(cè)的方法有靜態(tài)分析法和動(dòng)態(tài)運(yùn)行分析[2]。

1)靜態(tài)分析應(yīng)用軟件程序

靜態(tài)分析法是指通過(guò)分析應(yīng)用程序反匯編后程序代碼的語(yǔ)法、結(jié)構(gòu)、接口等來(lái)檢查應(yīng)用軟件惡意行為的方法。

Android應(yīng)用程序靜態(tài)分析常用的工具有IDAPro和Androguard。IDAPro可以用快速定位Android程序的關(guān)鍵代碼，Androguard工具包可以用來(lái)分析惡意軟件。

常采用兩種方法來(lái)靜態(tài)分析Android程序：分析反匯編的Dalvik字節(jié)碼和分析反匯編的Java源碼。

2)動(dòng)態(tài)運(yùn)行分析

動(dòng)態(tài)運(yùn)行分析是指在應(yīng)用軟件運(yùn)行時(shí)，對(duì)其運(yùn)行的狀態(tài)進(jìn)行監(jiān)控，獲取執(zhí)行跟蹤、時(shí)間分析以及測(cè)試覆蓋率等方面的信息，從而分析是否包含惡意代碼的行為特征。

動(dòng)態(tài)檢測(cè)技術(shù)常采用狀態(tài)對(duì)比和行為跟蹤兩種方法。狀態(tài)對(duì)比是指采用對(duì)比方式對(duì)軟件行為進(jìn)行抽取分析，比較程序執(zhí)行前后的系統(tǒng)狀態(tài)。行為跟蹤是在軟件執(zhí)行過(guò)程中，通過(guò)捕獲軟件的操作來(lái)進(jìn)行軟件行為分析。

2.2內(nèi)容安全防護(hù)

當(dāng)前，內(nèi)容安全的主要問(wèn)題是兩種：第一種是有些視頻類應(yīng)用軟件內(nèi)置了自定義、翻墻和代理服務(wù)器的功能。第二種是可以通過(guò)輸入IP地址，實(shí)現(xiàn)手機(jī)、PC機(jī)、智能機(jī)頂盒之間的內(nèi)容共享。針對(duì)這些問(wèn)題，需要在技術(shù)上進(jìn)行屏蔽。有相關(guān)功能的應(yīng)用應(yīng)強(qiáng)制下架。

根據(jù)廣電總局181號(hào)文件的要求，互聯(lián)網(wǎng)電視內(nèi)容服務(wù)平臺(tái)只能接入廣電總局批準(zhǔn)設(shè)立的互聯(lián)網(wǎng)電視集成播控平臺(tái)。終端產(chǎn)品不得與其他訪問(wèn)互聯(lián)網(wǎng)的通道，不得與網(wǎng)絡(luò)運(yùn)營(yíng)企業(yè)的相關(guān)管理系統(tǒng)、數(shù)據(jù)庫(kù)進(jìn)行連接[3]。智能機(jī)頂盒終端產(chǎn)品只能綁定一家內(nèi)容集成播控平臺(tái)。只要各終端廠商嚴(yán)格執(zhí)行，內(nèi)容安全就可以得到保證。

2.3網(wǎng)絡(luò)安全

智能機(jī)頂盒網(wǎng)絡(luò)安全是計(jì)算機(jī)網(wǎng)絡(luò)固有的問(wèn)題，在技術(shù)上需要對(duì)網(wǎng)絡(luò)協(xié)議進(jìn)行更新?lián)Q代或升級(jí)。同時(shí)用戶在使用智能機(jī)頂盒時(shí)需要提升自身的安全意識(shí)。應(yīng)用需要訪問(wèn)用戶的信息、位置、通訊錄等信息時(shí)，要對(duì)訪問(wèn)信息進(jìn)行核實(shí)。用戶可以根據(jù)需要安裝專業(yè)的安全軟件來(lái)維護(hù)智能機(jī)頂盒的安全。

2.4終端安全防護(hù)

智能機(jī)頂盒終端安全的防護(hù)包括硬件和軟件兩部分。有人提出了硬件安全防護(hù)從芯片層面來(lái)保證智能機(jī)頂盒設(shè)備終端的安全性方案[4]。此處從硬件安全威脅、Android系統(tǒng)的安全以及用戶數(shù)據(jù)安全方面來(lái)進(jìn)行分析。

1)硬件安全防護(hù)

智能機(jī)頂盒硬件平臺(tái)具有高性能、整體化、緊湊化設(shè)計(jì)等特點(diǎn)。

智能機(jī)頂盒硬件安全有直接硬件攻擊和軟件攻擊。硬件攻擊一般是芯片的調(diào)制端口被攻擊者所利用來(lái)控制終端，因此在產(chǎn)品出廠前調(diào)試端口應(yīng)該被禁止。軟件攻擊是智能機(jī)頂盒硬件平臺(tái)設(shè)計(jì)的特點(diǎn)，大部分是通過(guò)軟件大量頻繁地調(diào)用硬件設(shè)備，讓硬件設(shè)備超負(fù)荷運(yùn)作，使其壽命縮短。

2)Android系統(tǒng)安全

Android系統(tǒng)是基于Linux操作系統(tǒng)內(nèi)核開(kāi)發(fā)出來(lái)的，Android的安全模型繼承了Linux內(nèi)核的安全機(jī)制，并在進(jìn)程管理、權(quán)限、進(jìn)程間通信、內(nèi)存管理、應(yīng)用程序簽名等方面都做了加強(qiáng)。Android系統(tǒng)的安全機(jī)制主要包括以下幾個(gè)方面：

(1)進(jìn)程沙箱

用戶標(biāo)識(shí)UID是給每個(gè)安裝在Android智能機(jī)頂盒中應(yīng)用程序分配的ID。UID與應(yīng)用程序一一對(duì)應(yīng)，UID在應(yīng)用程序存在設(shè)備期間，保持不變。UID的使用使得每個(gè)應(yīng)用程序都在應(yīng)該獨(dú)立的進(jìn)程空間運(yùn)行，與其他應(yīng)用程序在資源上形成隔離，從而形成了應(yīng)用程序的沙箱。被限制在“沙箱”中運(yùn)行的應(yīng)用程序之間互不干擾，把應(yīng)用程序之間、應(yīng)用程序與操作系統(tǒng)之間的損害降到最低。

(2)應(yīng)用權(quán)限

沙箱將互不信任的應(yīng)用程序進(jìn)行了隔離，而ShareUserID則提供了互相信任應(yīng)用程序之間的資源共享。在Android安全機(jī)制中，使用應(yīng)用權(quán)限機(jī)制決定應(yīng)用程序的API和系統(tǒng)資源是否允許訪問(wèn)。權(quán)限為Android系統(tǒng)的安全提供了保障，也為用戶的某些特殊需求提供了實(shí)現(xiàn)基礎(chǔ)。

(3)進(jìn)程通信

進(jìn)程通信為了使得程序間進(jìn)行數(shù)據(jù)交換與服務(wù)而提供的一種機(jī)制。傳統(tǒng)的方式有管道、信號(hào)、信號(hào)量、共享內(nèi)存、消息隊(duì)列等。雖然Android系統(tǒng)使用Linux內(nèi)核，但在實(shí)際中Android是從組件的角度來(lái)實(shí)現(xiàn)通信的。

在系統(tǒng)安全方面，應(yīng)用程序是基于權(quán)限機(jī)制定義進(jìn)程通信的權(quán)限。 采用Binder進(jìn)程間通信機(jī)制在類型安全上有優(yōu)勢(shì)。Binder是通過(guò)共享內(nèi)存機(jī)制(Ashmem)實(shí)現(xiàn)進(jìn)程通信，效率更高。

(4)內(nèi)存管理

Android的內(nèi)存管理機(jī)制有Ashmem匿名共享內(nèi)存和LMK兩種機(jī)制。

Ashmem機(jī)制是基于Linux內(nèi)核的共享內(nèi)存，但是Ashmem與cacheshrinker關(guān)聯(lián)起來(lái)，增加了內(nèi)存回收算法的注冊(cè)接口，因此Linux內(nèi)存管理系統(tǒng)將不再使用內(nèi)存區(qū)域加以回收[5]。

LMK機(jī)制是在同時(shí)運(yùn)行多個(gè)應(yīng)用程序時(shí)，退出一個(gè)程序并不會(huì)立刻殺死它，而是將它先主流在內(nèi)存中，縮短下次運(yùn)行時(shí)的啟動(dòng)時(shí)間。

(5)應(yīng)用程序簽名

開(kāi)發(fā)者開(kāi)發(fā)每一款應(yīng)用程序時(shí)，都需要使用密鑰文件對(duì)其進(jìn)行數(shù)字簽名，是開(kāi)發(fā)者的一種有效身份標(biāo)識(shí)。如果軟件運(yùn)行時(shí)的簽名與發(fā)布者不一致，說(shuō)明應(yīng)用程序被篡改了。當(dāng)應(yīng)用程序升級(jí)時(shí)，發(fā)現(xiàn)升級(jí)應(yīng)用與原始應(yīng)用的簽名不一致，則將其作為一個(gè)新應(yīng)用程序安裝。應(yīng)用簽名還可以用來(lái)在相同簽名的應(yīng)用程序間建立共享資源關(guān)系。

3)用戶數(shù)據(jù)安全

為了防止用戶數(shù)據(jù)在用戶未授權(quán)時(shí)，被其他人利用，造成用戶私有數(shù)據(jù)和信息的泄露，可以采用權(quán)限控制的方法。通常的權(quán)限控制是指軟件系統(tǒng)的權(quán)限控制，還可以采用硬件的權(quán)限控制方式，直接在硬件層面劃分權(quán)限，可以達(dá)到權(quán)限控制的目的。針對(duì)傳輸數(shù)據(jù)被惡意篡改的現(xiàn)象，可以對(duì)文件進(jìn)行加密保護(hù)，保證傳輸過(guò)程中數(shù)據(jù)的完整性。對(duì)于用戶數(shù)據(jù)可能被刪除的情況，可以采取對(duì)用戶數(shù)據(jù)進(jìn)行自動(dòng)備份的機(jī)制。

3結(jié)束語(yǔ)

Android智能機(jī)頂盒的安全問(wèn)題與整個(gè)產(chǎn)業(yè)鏈有著密切的聯(lián)系，雖然在內(nèi)容、應(yīng)用、網(wǎng)絡(luò)和終端上都有相應(yīng)的安全措施，但這還遠(yuǎn)遠(yuǎn)不能滿足要求。智能機(jī)頂盒的安全是一個(gè)長(zhǎng)期性的問(wèn)題，主要源于應(yīng)用軟件安全、網(wǎng)絡(luò)安全和智能機(jī)頂盒終端安全的場(chǎng)景在不斷變化。智能機(jī)頂盒的信息安全僅僅通過(guò)技術(shù)的防御和加強(qiáng)是無(wú)法從根源上解決的，還必須配合政策和管理。智能機(jī)頂盒的使用用戶也需要不斷加強(qiáng)安全意識(shí)，對(duì)應(yīng)用軟件的訪問(wèn)要嚴(yán)控，并及時(shí)對(duì)系統(tǒng)進(jìn)行更新。

參考文獻(xiàn)：

[1]宋杰，黨李成，郭振朝，等.AndroidOS手機(jī)平臺(tái)的安全機(jī)制分析和應(yīng)用研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2010(6)：152-155.

[2]童振飛，楊庚.Android平臺(tái)惡意軟件的靜態(tài)行為檢測(cè)[J].江蘇通信，2011(1)：39-42.

[3]廣電總局.廣電總局辦公廳關(guān)于印發(fā)《持有互聯(lián)網(wǎng)電視拍照機(jī)構(gòu)運(yùn)營(yíng)管理要求》的通知(廣辦發(fā)網(wǎng)字[2011]181號(hào))[EB/OL].[2015-08-08].http://www.360doc.com/content/13/1128/09/1841814_332745411.shtml.

[4]胡冰松，黃小桑. 一種安全的智能機(jī)頂盒實(shí)現(xiàn)方案[J].電信科學(xué)，2013(4)：33-36.

[5]吳倩，趙晨嘯，郭瑩.Android安全機(jī)制解析與應(yīng)用實(shí)踐[M].北京：機(jī)械工業(yè)出版社，2013.

責(zé)任編輯：許盈

SecurityanalysisandresearchofAndroidsmartset-topbox

MAOZejie,WUWeihua

(National Testing and Inspection Center for Radio and TV Products, Beijing 100015，China)

Abstract:At present, most of the smart set-top boxes use Android system. The greatest character of Android is open, which makes the Android smart set-top box facing with security threat. In order to protect the Android smart set-top box, firstly, the definition of Android smart set-top box is present, and the present status of safety of the smart set-top box is summarized. Secondly, from the angle of the whole industrial chain, the classification of the smart set-top box security is carried on, the source of security threat is analyzed in detail. Finally, the security protection strategy of the smart set-top box is introduced.

Key words:smart STB; information security; Android OS

中圖分類號(hào):TN949

文獻(xiàn)標(biāo)志碼:A

DOI：10.16280/j.videoe.2016.03.017

收稿日期：2015-10-26

文獻(xiàn)引用格式：毛澤杰，吳蔚華.Android智能機(jī)頂盒的安全分析與研究[J].電視技術(shù)，2016，40(3)：79-82.

MAOZJ,WUWH.SecurityanalysisandresearchofAndroidsmartset-topbox[J].Videoengineering，2016，40(3)：79-82.