電力系統移動應用安全測試技術研究

郭 靜, 姜海濤, 王梓瑩

( 國網電力系統人工智能聯合實驗室(國網江蘇省電力有限公司電力科學研究院), 江蘇 南京 211103)

0 引言

移動應用因其使用便捷、個性化等特點，快速滲透到電力行業后，極大轉變了電力領域的服務模式，提升了用戶體驗。

電力行業因其自身特性，對移動應用安全性、私密性、穩定性的要求越來越嚴格。然而，移動應用開發具有開放性和靈活性，其安全測試技術研究又尚在起步階段，因此給電力行業帶來了更多的安全隱患。近年來，移動安全事件頻發，某安全網站曝出電力移動應用2個高危敏感信息泄露漏洞，相關人員迅速修補漏洞并更新版本，未造成嚴重后果和不良社會影響。2016年，電e寶、掌上電力相繼被曝疑似大量客戶信息流出，造成了較大的社會影響。移動應用安全形勢嚴峻，安全漏洞和安全隱患嚴重威脅著每個電力用戶利益和企業數據安全。

關于移動應用，目前國內外己經做了很多基于應用的安全研究。文獻[1—2]設計了一種基于應用程序請求的權限來檢測應用是否為惡意應用軟件的系統，該系統在應用安裝時讀取應用程序申請的權限，并與一組已知的視為可疑危險行為的規則進行比較，如果檢測應用存在危險權限組合則推遲應用權限申請的認證，從而提供在應用安裝的過程中給予用戶警示的功能。但是現有的移動應用功能越來越強，僅通過權限區分應用的安全性，缺乏強有力的說服力。2015年美國國家標準技術研究院發布新版指南，新版指南審查移動應用程序的安全性，為機構提供其所需的移動應用相關安全和隱私風險評估信息，包括內部開發的程序以及在移動應用市場中下載的程序。新版指南也有助于研發人員了解軟件開發周期中安全漏洞的類型。該指南提供了應用程序開發安全性要求的審查過程實施計劃和注意事項，并介紹了應用程序類型的漏洞和相關測試方法，還提供了機構可以使用的應用程序實例。

以上研究都是針對普通移動應用，因此文中基于電力移動應用的發展現狀，分析其面臨的各項安全風險，針對現有移動應用測試方法的不足提出安全機制測試方法，并結合傳統測試方法，制定全面的安全測試方案，確保移動應用安全穩定運行。

1 電力移動應用安全風險分析

移動應用在電力行業起步晚，但發展迅猛。近年來，迅速與生產、營銷、金融支付、調度、辦公等領域密切融合，已經為企業級用戶所接受。其類型主要包括獨立安裝的移動應用以及在微信平臺上進行二次開發的移動業務。然而，與市面上的移動應用略有區別，電力移動應用不僅服務于廣大電力用戶，更為內部生產做支撐服務。

1.1 架構分析

電力信息安全防護體系始終圍繞安全分區、網絡專用、橫向隔離、縱向認證的基本原則。企業內網的建立，各分區之間的安全隔離與邏輯隔離都為信息安全提供了堅實的保障基礎。圖1為電力移動應用建設的基本框架。

圖1 電力移動應用基本框架Fig.1 Architecture diagram of mobile application in power system

電力移動應用部署基本原則遵循分區分域，安全接入。客戶端與服務分區部署，并采用防火墻等設備實現邏輯隔離。后臺管理端及數據庫與外網服務之間采用符合標準的隔離裝置，實現物理隔離。各分區的具體組成模塊如下：

(1) 客戶端。部署在互聯網，安裝具體應用。客戶端是連接用戶與服務的橋梁，用戶通過客戶端應用可對營銷、客服、電力交易等業務模塊進行訪問與操作，客戶端將各種請求發送給服務端。

(2) 服務端。部署在信息外網，提供后臺服務接口。服務端接收客戶端提供的各種請求并進行處理反饋，同時可與信息內網數據庫進行交互，交互過程設置了安全措施。

(3) 數據庫。部署在信息內網，存儲各類應用相關數據。

(4) 管理端。部署在信息內網，為移動應用的信息發布和統計提供相關的后臺管理及服務。

1.2 安全威脅

根據結構框圖，簡單把4個模塊劃分為“客戶端-傳輸-管理端”，分析移動應用可能面臨的安全威脅，此處管理端包含了數據庫及管理后臺應用。

1.2.1 客戶端安全

(1) 物理威脅。客戶端終端包括智能手機、平板設備等智能設備。設備具有靈活便攜的特點，容易被非法盜取。設備遺失后，如果應用數據及登錄信息等未及時銷毀，可能造成用戶個人信息泄露甚至經濟損失。

(2) 操作系統威脅。目前，Android和iOS操作系統占據了市場主流[2-5]。為保護用戶的數據、應用程序和設備的安全，兩個系統設置了相對全面的安全機制。但目前，root和越獄越演越烈，root或越獄后的設備，能夠完美繞過安全機制。盡管設備生產廠家采取了設備鎖定等一系列措施，但收效甚微，而且很多用戶因為自身需求也會主動選擇root設備[6]。

(3) 病毒木馬和惡意代碼。病毒木馬和惡意代碼一直困擾著用戶，攻擊者借助開源技術方案帶來的技術積累制作攻擊武器，通過病毒傳播、短信攻擊、網關攻擊等造成用戶損失。2016年度，Android平臺約10臺設備中就有1臺染毒，設備感染率達10%。

(4) 應用威脅。移動應用是連接用戶與業務的橋梁，通過智能設備與用戶直接交互，并通過通信鏈路傳輸業務請求到后端服務器。以移動應用為入口，進行漏洞挖掘及業務安全分析，可逐步滲透到服務端、管理端。根據漏洞來源，應用威脅主要可分為以下三大類：

① 傳統web漏洞[7-8]。移動應用通常采用客戶端/服務器(clients/server, C/S)或者C/S和瀏覽器/服務器(browser/server, B/S)相結合的開發架構，其開發技術漸漸和web開發技術融合在一起。所以，常見的web應用相關漏洞在手機前段都有可能存在。開放式web應用程序安全項目組織(open web application security project organization, OWASP) top 10詳述了web開發面對的10大安全漏洞，包括結構化查詢語言(structured query language，SQL)注入，跨站腳本攻擊漏洞，跨站請求偽造(cross-site request forgery, CSRF)等等。這些漏洞可能會造成機密信息被竊取、網絡服務被中斷、破壞等后果。但由于大部分APP不是采用直接嵌入網頁的模式，而是使用應用程序編程接口(application programming interface，API)返回數據，導致掃描器爬蟲無法大量獲取鏈接，因此該類漏洞利用率比較低。

② 應用自身安全機制問題。不安全的數據存儲，不安全的身份驗證，過多的授權,未進行源代碼保護等引發的逆向工程攻擊。逆向工程[9]通過對核心二進制代碼以及業務邏輯的分析研究，確定應用源代碼、庫文件、算法和其他資產。常用的分析方法包括包分析，協議分析，代碼注入，組件攻擊等等，能夠造成拒絕服務、運行崩潰、數據監聽、源代碼泄露等后果。

③ 業務設計不合理引發的安全漏洞。應用中涉及到的第三方引用(服務、支付、地圖等)不當也會造成安全風險。如訪問第三方應用后原頁面被替換或者覆蓋，內部員工使用不加密的二維碼作為認證信息，通過拍照獲取或者重構二維碼易引起內部信息泄露和越權訪問。

1.2.2 傳輸安全

APP網絡傳輸安全指數據從客戶端到數據庫中間過程的安全。傳輸安全本質上是信任問題。攻擊者通過證書偽造、數字簽名偽造等手段偽裝成為信任的對象，進行數據竊取或篡改，這就是所謂的中間人攻擊方式。此外，移動通信數據傳輸采用無線網絡接入服務器、客戶端，也可通過wifi釣魚或基站偽裝等方式，對用戶信息進行監聽和分析。攻擊者盜取數據包后，可進行數據篡改或以此用戶信息為跳板獲取更多后臺機密信息。

1.2.3 管理端安全

應用管理后臺通常使用web技術開發，提供方便快捷的管理頁面，由系統管理員個人使用，承擔了更多的管理職能。后臺能夠進行信息發布，數據增刪改查等關鍵操作。一旦發生攻擊事件，能夠造成大范圍用戶影響，是攻擊者的終極目標。

(1) 應用系統威脅：關于web系統常見風險同“應用威脅”分析。

(2) 內部威脅：電力系統依賴物理隔離的保護，內網用戶在系統管理及使用上存在不合理行為容易造成弱口令利用，攻擊者登錄系統更改應用配置信息，使業務應用不能訪問；發布惡意公告，造成惡劣社會影響。規范用戶行為管理的同時，重視安全策略制定，加強機密數據的存儲和傳輸安全，建立良好的數據恢復系統，建立用戶操作審計機制都可以解決這類問題。

(3) 環境威脅：環境安全主要包括網絡層、主機層、應用層、數據層的安全。主要有網絡設備、操作系統、數據庫、中間件、應用服務器等多類設備及系統的安全配置問題；主機感染的病毒、木馬以及惡意代碼問題。這些問題均會成為攻擊的可利用漏洞，如利用系統漏洞遠程獲取訪問權限或管理權限，從而控制整個系統。

2 常規安全測試方法

為應對移動用快速發展帶來的安全問題，充分保護電力用戶隱私及內部生產數據，已建設的生產應用通常以展示功能為主，其他關鍵操作性的設置較少，以此來減少安全風險。隨著應用與業務的緊密融合，很難再使用這種方法來限制用戶操做行為。面對越來越多的攻擊方式和攻擊數量，應用必須從根本上規范安全機制，加強系統上線前安全測試，提升移動應用安全性、健壯性。

常見安全測試方法主要檢測電力應用面對的技術方面的威脅，通常運用代碼審計和滲透測試方法確保各類應用安全，同時采取安全配置核查，病毒木馬查殺等檢測手段確保部署環境安全。

(1) 代碼審計[10-11]。代碼審計屬于靜態測試方法[12]，是一種以發現程序錯誤，安全漏洞和違反程序規范為目標的源代碼分析。目前比較流行的檢測標準是OWASP安全標準，對跨站腳本攻擊(cross site scripting, XSS)、文件上傳、各類注入漏洞等主流攻擊漏洞進行代碼級檢測。常用的代碼審計方法是軟件掃描，該方法誤報率較高，因此必須請專業人員對代碼報告進行審計，確定真實威脅。

(2) 滲透測試[13-16]。滲透測試屬于動態測試方法，通過模擬惡意黑客的攻擊方法，來評估計算機網絡系統安全的一種評估方法。這個過程包括對系統的任何弱點、技術缺陷或漏洞的主動分析，這個分析是從一個攻擊者可能存在的位置來進行的。目前，針對web應用系統，已經有各種自動化測試工具為測試者提供幫助和參考。對于移動應用來說，還沒有權威的自動化測試工具，因此測試效果主要依賴測試人員的個人能力。

(3) 安全配置核查。安全配置核查[17]主要是對系統部署環境各要素的綜合檢查。目前常見的配置核查涵蓋了操作系統、網絡設備、數據庫、中間件等多類設備及系統的安全配置檢查，其發現的問題包括未安裝補丁、錯誤的安全配置、各類弱口令等。企業可以根據自身需求，定制一套安全配置核查標準，稱之為安全基線。常用的安全配置核查手段是人工檢查和設備檢測。

(4) 病毒木馬查殺。病毒木馬查殺主要是防止系統服務器、數據庫等關鍵設備被病毒木馬入侵。主要手段是安裝主流防病毒木馬軟件，使用最新病毒庫進行查殺。同時，針對頑固病毒，在不影響業務的情況下，采取端口、服務禁用的應急手段防止進一步侵害。病毒木馬檢測手段日趨成熟，但一些緊急情況和潛在漏洞仍然具備很大威脅性，如近期肆虐的勒索病毒，因此病毒木馬檢測屬于常規型檢測。

以上方法在移動應用安全檢測中仍然適用，能夠有效檢測到后臺應用、部署環境存在的安全漏洞，但一方面移動應用和web應用存在架構及開發、應用模式上的差異性，另一方面以上針對應用軟件的檢測方法主要從攻擊者角度出發，面對層出不窮的攻擊方式和攻擊方法有些力不從心。因此，亟需一套針對性強且能夠實現主動防御的完整的移動應用測試方案。

3 一種基于安全機制的測試方法

針對常規安全測試方法的不足，文中提出了基于安全機制移動應用測評方法。該測評方法針對電力移動應用開發可規劃、規范性強的特點，結合等級保護測評思想整體測評分析移動客戶端應用的安全性。主要通過規范化要求，減小或部分消除各種安全威脅給信息系統帶來的安全風險，最終確保信息系統安全防護能力達到保障業務安全可靠的水平。

安全機制檢測主要覆蓋用戶鑒別、數據傳輸、數據存儲、輸入健壯性、異常管理、源代碼保護、包分析、組件安全、API使用、權限機制等幾大方面，能夠針對性測試目前流行的反編譯、二次打包、組件暴露劫持、中間人攻擊等主流移動應用威脅。

3.1 用戶身份鑒別機制

檢測客戶端用戶身份鑒別機制和客戶端身份鑒別機制。用戶身份鑒別應用場景較多，關鍵場景有用戶登錄場景，關鍵操作場景等。其檢測點有：

(1) 用戶身份鑒別方式。檢測移動應用使用的身份鑒別方式。移動應用應設置相應的身份鑒別方式，如口令、驗證碼等，更安全的方式是采用驗證碼、生物特征識別(如指紋等)相結合的方式來作為用戶的唯一身份標識。

(2) 鑒別失敗處理機制。檢測移動應用對多次登錄身份驗證失敗的處理機制。對于多次登錄失敗的用戶，應當做鎖定處理，杜絕惡意嘗試的暴力破解行為。

(3) 登錄防暴力破解機制。檢測移動應用對失敗登錄請求的處理機制。對于惡意發送的登錄失敗請求，服務器端應當拒絕處理，以免處理大量無效請求時占用資源，引起系統崩潰。

(4) 用戶登錄失敗提示。用戶登錄失敗時謹慎提示，以免暴露更多用戶口令信息，降低攻擊者保利破解難度。

(5) 客戶端與服務器端身份鑒別。客戶端與服務器通信時一般采用安全套接層(secure sockets layer, SSL)安全協議，SSL存在單向認證和雙向認證兩種方式。單向認證過程中只需要服務器將自己的證書，以及同證書相關的信息發送給客戶瀏覽器。雙向認證則是需要服務端與客戶端提供身份認證，只能是服務端允許的客戶能去訪問，安全性相對而言要高一些。使用這種方法，攻擊者無法輕易模擬客戶端進行欺騙通信，有效阻止了中間人攻擊。

(6) 用戶口令設置機制。檢測用戶口令復雜度、用戶口令重復次數及用戶口令對特殊符號輸入的處理。

(7) 用戶身份信息泄露等。檢測用戶鑒別信息是否存在過期、泄露等情況。如短信驗證碼是否可以長期使用，驗證碼內是否含有口令或其他身份信息等。

3.2 卸載升級

(1) 檢測軟件卸載是否清除完全，是否有數據殘留。主要是針對客戶端進行的檢測，軟件卸載后應全部刪除自身文件，尤其是容易被轉移的外設中不應留存敏感信息。

(2) 檢測軟件升級功能的正確性和安全性：檢測軟件升級方式，如果是通過鏈接方式推送升級，嘗試替換升級信息，檢測升級過程中是否進行了完整性校驗。

3.3 數據通信機制

(1) 檢測客戶端在與服務端軟件通信過程中數據加密機制：對于通信過程中傳輸的敏感數據，如口令、支付信息、用戶隱私信息及其他涉密數據應采取加密方式傳輸，加密算法應采用密級較高、密鑰長度合適的算法。

(2) 檢測數據傳輸過程中是否使用安全套接層/傳輸層安全(secure sockets layer / transport layer security , SSL/TLS)、網際協議安全(internet protocol security, IPSec)等安全通信協議：通信過程中應采用安全通信協議，對通信網絡連接進行加密。

(3) 檢測客戶端與服務端軟件通信過程中是否進行完整性校驗機制：通信過程中應采用完整性算法對敏感數據進行保護，如MD5、SHA1等。可嘗試修改傳輸數據，看服務端是否能夠識別。

(4) 檢測軟件是否可以建立非法會話：檢測會話標識是否容易被盜用，嘗試退出登錄后發送相同會話請求，服務器應不能正常響應。

(5) 檢測軟件是否具備會話超時機制：會話建立后，應當有會話連接時間設定，超過會話連接時間應關閉會話。

3.4 數據存儲機制

(1) 檢測軟件記錄的隱私信息是否加密處理：客戶端是否明文存儲敏感信息，應用配置信息、敏感報錯信息、關鍵代碼等。敏感信息應采用密級較高、密鑰長度合適的算法。

(2) 檢測數據存儲位置是否安全：應用敏感數據應存儲在應用本身目錄下，尤其是可移動外設中應盡量不存放應用信息。

3.5 輸入健壯性測試

(1) 檢測軟件是否對錯誤的操作或者輸入進行處理：嘗試輸入特殊字符、超長內容及不同類型的數據，檢測軟件對用戶輸入的限制。如果引發程序異常，對報錯信息進行分析，不應含有敏感信息。

(2) 檢測隱私數據輸入時是否明文顯示：在輸入口令，支付密碼、身份私密信息等用戶個人隱私時，應當對關鍵信息進行隱蔽處理。在輸入這些隱私信息時，盡量使用加密鍵盤。

3.6 API誤用

檢測軟件是否存在已知漏洞的API。通過調用各類問題API，測試應用在不同版本的系統上是否能夠激活該漏洞。

3.7 調試功能

檢測軟件是否開啟調試功能及備份功能，這兩個功能常常被攻擊者利用。

3.8 組件安全

(1) 檢測是否存在不必要的暴露組件：查看暴露組件情況，如存在必須暴露的組件，應進行權限聲明，避免組件被惡意程序利用或攻擊。

(2) 檢測Activity、BroadcastRecevier、Service、Content Provider組件是否會被權限攻擊或劫持：Activity組件被劫持無法避免，劫持后應用應給用戶提示當前應用已進入后臺運行。使用工具進行組件模擬攻擊，查看是否會引起程序異常，是否存在組件權限攻擊或者被監聽。

3.9 權限機制

(1) 檢測軟件是否存在權限濫用問題。查看manifest文件，分析system級別權限和級別root權限使用情況。應用依照最小化權限原則進行設置。

(2) 檢測用戶操作權限管理。確定已通過驗證用戶的訪問和操作權限。防止錯誤的授權或弱授權導致應用程序信息和用戶敏感信息被非法訪問或篡改。① 縱向越權：一個低權限的用戶訪問高權限用戶的資源或功能。② 橫向越權：用戶嘗試訪問與其同級權限用戶的資源或功能。

3.10 軟件防篡改

(1) 檢測軟件是否能被反編譯：對Android 安裝包(Android package, apk)進行反編譯，查看是否能正常分析得到的源碼。Android應用應對源代碼進行加殼或混淆處理，以免信息泄露。

(2) 檢測軟件的本地庫文件是否加密：解壓apk包，提取dex文件并使用工具轉換，查看得到的代碼能否正常分析。

(3) 檢測軟件是否夠重打包：反編譯apk安裝包后，對源碼進行修改，重新打包簽名，查看APP是否能夠正常運行。應用應對apk包完整性進行校驗，避免重打包現象。

以上安全機制檢測根據APP常見缺陷總結，能夠有效評估應用安全性。

4 案例分析

結合傳統的的安全檢測方法和安全機制檢測方法，可分別涵蓋了移動終端安全、客戶端應用安全、通信和傳輸安全、服務端安全幾個方面來進行檢測。檢測整體框圖如圖2。

圖2 移動應用安全測試方法Fig.2 Mobile application security testing scheme.

本方法基于電力系統行業特點，考慮了可能發生威脅的各個模塊，利用安全機制檢測實現安全威脅主動防御，并綜合已有的代碼審計、滲透測試、配置核查、病毒木馬查殺等多種技術手段，提供移動應用全面的安全保障。本方案可通用于各類電力移動應用，為上線前安全測試提供理論基礎和具體實現。

挑選3個移動應用A、B、C，在硬件條件同等的情況下(包括客戶端硬件及服務端硬件)，使用該方案進行測試。其中A系統為獨立開發，B系統和C系統集成在同一平臺內開發。檢測發現A應用安全機制問題11項，其他安全問題2項；B應用安全問題6項，其他安全問題1項；C應用安全機制問題5項，其他安全問題1項。測試結果如表1和表2所示。通過測試結果可以看出，就服務端而言，管理后臺采用Web技術開發，通過代碼測試和滲透測試A、B、C均測試出少量低危漏洞。究其原因，web安全近年來越來越受到重視，開發人員安全意識上升，安全防護技術越來越成熟，很大程度降低了管理后臺的技術漏洞。

表1 3APP客戶端測試結果比較Tab. 1 Test result comparison between 3 APPs clients

測試方法類別ABC無賬戶鎖定機制賬戶鎖定時間不足賬戶鎖定時間不足用戶身份鑒別未采用多重身份鑒別機制未采用多重身份鑒別機制未采用多重身份鑒別機制用戶登錄失敗提示暴露信息用戶驗證碼復雜度不足未設置會話超時時間未設置會話超時時間未設置會話超時時間數據通信機制未進行數據傳輸完整性校驗安全機制測試未進行數據傳輸加密數據存儲機制本地存儲敏感文件,可反編譯為系統源代碼輸入健壯性輸入隱私數據可全部明文顯示,未進行部分屏蔽未對輸入數據類型進行限制組件安全存在暴露的組件存在暴露的組件存在暴露的組件權限管理存在高級別權限申請(打電話)存在高級別權限申請存在高級別權限申請端口檢測存在無關的服務和端口存在無關的服務和端口滲透測試傳輸可靠性檢測明文傳輸敏感信息數據可重放檢測數據可實現修改重放

表2 3APP服務端測試結果比較Tab.2 Test result comparison between 3 APPs severs

測試方法ABC代碼審計Excessive session timeout(low)Leftover debug code(low)Leftover debug code(low)System information leak(low)System information leak(low)System information leak(low)應用程序錯誤(低)發現電子郵件地址模式(低)發現電子郵件地址模式(低)滲透測試發現電子郵件地址模式(低)Html注釋敏感信息泄露(低)Html注釋敏感信息泄露(低)缺少跨站腳本編制防御(低)缺少跨站腳本編制防御(低)缺少跨站腳本編制防御(低)查詢中接受的主體參數(低)檢測到隱藏目錄(低)檢測到隱藏目錄(低)

APP的主要安全問題集中在客戶端。使用基于安全機制的測試方法能夠測試出更多的安全漏洞。就客戶端而言，A系統存在較多漏洞。因用戶鑒別機制不完善，可進行登錄信息猜測；因為傳輸機制不完善，可通過抓包獲取到用戶敏感信息，且可以對截取的數據包進行修改；本地存儲敏感信息可進行源代碼反編譯；存在高級別權限，超出本身應用范圍。B系統和C系統安全機制相對完善，因為開發時以同一平臺為基礎，安全問題趨于一致。電力系統逐步采用基于平臺統一開發的模式，將各類應用保護起來，解決了開發團隊水平參差不齊的問題，提高了整體安全水平。但與此同時，統一平臺的安全必須通過嚴格測試。

4 結語

文中針對常規安全測試方法能夠適應電力移動應用測試的不足和電力移動應用開發可規劃、規范性強的特點，結合等級保護測評思想整體測評分析移動客戶端應用的安全性，提出了基于安全機制的測試方法，從根本上規范安全機制，加強系統上線前安全測試，從而提升了移動應用安全性和健壯性。同時，該移動安全測試方案適用于電力移動應用的安全測試，為電力移動應用上線前安全測評與加固提供了技術指導。