聚焦移動安全

編者按：在移動終端大行其道的時代，隨處可見“低頭族”，那么你關(guān)注過自己的“安全”嗎？你是否在“裸奔”？……網(wǎng)絡(luò)的普及，讓我們的生活越來越便利，但隱患也相伴而生，不時有新聞爆出這樣或那樣的安全問題，令人擔憂，又不免存在僥幸心理。因此，對移動終端的安全多一些了解，是非常必要的。主持人和嘉賓分兩期對這一問題進行探討，也歡迎您積極參與。

應(yīng)用沙龍

主持人：

金 琦 浙江師范大學附屬中學

嘉 賓：

邱元陽 河南省安陽縣職業(yè)中專

劉宗凡 廣東省四會中學

伴隨著移動通信和互聯(lián)網(wǎng)融合的擴大和深入，移動互聯(lián)網(wǎng)開始為用戶提供更具有移動特性、更豐富多彩的應(yīng)用服務(wù)。一方面，各式移動終端極大地改變了我們的生活方式，它讓我們的生活、工作變得更加方便；另一方面，正是由于它與我們的生活、工作的聯(lián)系如此緊密，與之相應(yīng)的移動終端安全問題也日益突出，引起了社會的廣泛關(guān)注。本期將根據(jù)不同情況，探討移動終端的一些常見的安全問題以及相應(yīng)的防護措施。

金琦：喬布斯創(chuàng)造的蘋果帝國

自2007年喬布斯發(fā)布第一款iPhone開始，因為卓越的設(shè)計和總是提前采用更先進的技術(shù)，使得蘋果產(chǎn)品成為當今許多人忙碌生活中的必需品，iPhone以及相關(guān)設(shè)備的用戶近年來不斷增長，到2016年初，其用戶數(shù)量已經(jīng)超過了10億。

從安全的角度看，iPhone也成為硬件工程師和黑客們的興趣點。很多人花費大量的時間嘗試了解iPhone的內(nèi)部機制，包括它所用的硬件、操作系統(tǒng)如何運作、安全機制的設(shè)立等。眾所周知，iOS已經(jīng)從最初的一個相當不安全的平臺變成了現(xiàn)在市場上最安全的手機系統(tǒng)之一（如下頁圖1）。

iOS的封閉性是毋庸置疑的，默認情況下，iOS設(shè)備是禁止第三方更改其操作系統(tǒng)的。這就意味著，用戶不能像使用Windows那樣訪問他們的設(shè)備，而且iOS也沒有文件管理器這個概念。因此，很多人希望能夠在iOS上面做更多的事情。一些有熱情的開發(fā)者，對iOS平臺內(nèi)部工作機制進行大量研究，其目的是獲取iOS系統(tǒng)的最高權(quán)限，也就是為人熟知的“越獄”了。

從正式命名到現(xiàn)在，iOS陪伴消費者已有8年之久。在iPhone發(fā)布之初，蘋果公司限制了第三方應(yīng)用的運行，用戶如果想瀏覽網(wǎng)站，只能通過內(nèi)置的Safari瀏覽器。很顯然，缺乏第三方應(yīng)用的支持使消費者們無法充分地發(fā)揮他們設(shè)備的性能。當時的黑客便開始致力于破解iPhone，慣用的手法是通過刷機或者“越獄”來安裝第三方軟件。

讓時間回到九年前的那個夏天，世界上的第一臺iPhone閃亮登場。但它問世沒多久，就被喬治·霍茲（George Hotz）破解了，他認為，破解的核心在于讓硬件能夠接收到自己的指令，并按接收到的指令去做，類似于催眠。幾周后，他找到了基本的思路。憑借著一把螺絲刀和一個吉他撥片，霍茲撬開了iPhone，找到了自己要找的東西——基帶處理器。正是這小小的黑色塑料片，決定了iPhone只能在AT&T的網(wǎng)絡(luò)下工作?；羝澰诨鶐幚砥魃虾高M一條線，附上電壓，擾亂了它的編碼，實現(xiàn)了操控iPhone的目的。之后他為這臺iPhone寫了一個程序，使其能夠在任何運營商的網(wǎng)絡(luò)下使用。隨后霍茲就迫不及待地用攝像機記錄下這一過程，并把視頻發(fā)送到Y(jié)outube上。這段展示全球首臺破解版iPhone的視頻很快就吸引了200萬的訪問量，霍茲也因此一舉成名。馬上，他通過網(wǎng)絡(luò)將自制的破解iPhone進行拍賣，換得了一輛尼桑跑車和3臺新iPhone。

可能是受到這一舉動的影響，2008年，蘋果公司發(fā)布了新版本的iOS，這個版本內(nèi)置了一項全新的服務(wù)，那就是眾所皆知的AppStore。AppStore提供了用戶購買與安裝應(yīng)用的機會。自AppStore發(fā)布至今，已有超過100萬App發(fā)布并可購買，累計下載量超過500億。

早期的iOS版本在安全防護方面做得很少，所有的進程都擁有超級用戶的權(quán)限。進程在系統(tǒng)資源的使用方面也沒有限制。隨著時間的推移，蘋果公司開始引入更為安全的系統(tǒng)功能。從AppStore下載的App是以Mobile權(quán)限運行，最引人注目的應(yīng)該是沙箱（Sandbox）功能了。

所有這些改變和優(yōu)化處理成就了今天的iOS，iOS也因為它的安全模式獲得了巨大的成功。事實上，AppStore中應(yīng)用的總體分配過程以及當前iOS系統(tǒng)所實現(xiàn)的安全措施集合，使得iOS已成為最安全的消費級操作系統(tǒng)之一。

雖然iOS在安全方面獲得了巨大的成就，但就此認為iOS無法被入侵是非常幼稚的，上期就提到了幾種方式，成功入侵了iOS平臺。就目前而言，相對于其他系統(tǒng)，想對iOS設(shè)備發(fā)起一次成功的攻擊，可采用的方法是有限的，蘋果公司也能迅速發(fā)布解決方案，因此用戶使用不“越獄”的iPhone手機，安全系數(shù)較高。

劉宗凡：漫談惡意軟件

隨著移動設(shè)備的發(fā)展和流行，移動設(shè)備上的惡意軟件問題漸漸地凸顯出來。與桌面平臺的發(fā)展類似，在移動設(shè)備發(fā)展的初期，它們并不是以惡意傳播為目的，而通常是出于好奇心或者作者的惡作劇。隨著時間的推移，惡意軟件的目的有了根本性的轉(zhuǎn)變，從剛開始為了博人眼球，到后來以收費詐騙甚至信息竊取為主。目前已知最早的移動惡意軟件是RedBrowser，它于2006年出道，與其前輩有許多重要的不同之處。首先，它專門感染采用J2ME（Java 2 Micro Edition）平臺的手機。該木馬會將自己偽裝為一款能夠更容易瀏覽WAP（Wireless Application Protocol）網(wǎng)站的應(yīng)用程序。由于攻擊目標是應(yīng)用廣泛的Java，而非移動設(shè)備的操作系統(tǒng)，因此攻擊的范圍變得更廣了。其次，這款木馬利用了高級SMS訂購服務(wù)，導致手機用戶要為每條SMS支付5美金的費用。看到如此高的回報，惡意軟件開始變得一發(fā)不可收拾。

三年前，安卓平臺在全球智能手機市場上占據(jù)的份額已經(jīng)超過八成。此外，它還有一個更大的數(shù)字——97%，這是安卓平臺在全球手機惡意軟件中占據(jù)的份額。

1.安裝方式

安卓平臺上的惡意軟件經(jīng)常偽裝成熱門軟件來吸引用戶下載，從而達到快速傳播的目的，常見的安裝方式如下：

（1）應(yīng)用重打包

惡意軟件制作者會選擇一款熱門應(yīng)用，對它進行反編譯，去除第三方庫等外部通用代碼之后的部分，然后植入惡意代碼，提交給應(yīng)用商店。由于重打包應(yīng)用需要保持原應(yīng)用的功能，因此對核心代碼不會做很大的改動。

（2）釣魚式引導

很好理解，惡意軟件制作者會放出一個釣魚鏈接供用戶訪問，在未經(jīng)用戶允許的情況下安裝惡意軟件。

（3）升級包

在更新時動態(tài)獲取或下載惡意軟件，這種方式最近越來越流行，一般的靜態(tài)代碼分析無法檢測。

惡意軟件安裝到用戶手機后，一般會監(jiān)聽系統(tǒng)日志。因為安卓系統(tǒng)的廣播系統(tǒng)會自動進行事件通知與函數(shù)調(diào)用，因此無需用戶啟動即可觸發(fā)。例如，Boot_Completed常被惡意軟件用于開機自啟動，SMS_Received被吸費扣費類惡意軟件用于監(jiān)聽攔截來自網(wǎng)絡(luò)運營商的服務(wù)。

2.惡意行為模式

安卓平臺惡意軟件的惡意行為模式主要有以下幾種：

（1）惡意消費

惡意消費軟件的顯著特征是感染后會在系統(tǒng)后臺執(zhí)行扣費操作，具體地說就是通過定制SP業(yè)務(wù)從而自動發(fā)送短信和撥打電話。比較典型的就是MDF.A.keji.a，該類程序一旦被誘騙安裝到手機上，就會在后臺發(fā)送付費短信，達到惡意扣費的目的。

（2）隱私竊取

隱私竊取是近年來常見的一種手機安全威脅，在用戶不知情或未授權(quán)的情況下，獲取用戶隱私信息。用戶一旦感染了具有隱私竊取行為的惡意軟件，本機已安裝應(yīng)用列表、本機所有聯(lián)系人姓名和電話、當前位置信息、手機短信、彩信、手機郵件內(nèi)容都存在被泄露的風險，更為嚴重的是使用手機登錄的各類賬號都存在被盜用的風險。比較典型的就是基于木馬FCS.A.Bg.a開發(fā)的各類惡意軟件。

（3）遠程控制

多數(shù)惡意軟件遠程控制模塊使用HTTPS協(xié)議連接，手機感染該類惡意代碼后，會在后臺自動連上對應(yīng)的服務(wù)器，等待攻擊者發(fā)送指令實施攻擊，常見的該類病毒有金山率先發(fā)現(xiàn)的MDF.A.Pico.a，當然讀者也可以嘗試安裝Webkey這種遠程登錄控制軟件，體驗在計算機瀏覽器中打開手機屏幕，并執(zhí)行手機程序。

（4）權(quán)限提升

現(xiàn)在大多數(shù)安卓系統(tǒng)在安裝新應(yīng)用時會告知用戶需要請求的權(quán)限，用戶只能選擇完全接受或者取消安裝，這已經(jīng)讓很多用戶詬病了，但權(quán)限的提升更危險，能夠突破安卓權(quán)限機制和沙箱機制，甚至允許惡意軟件執(zhí)行Root權(quán)限。

當安卓在Google Play和各種第三方應(yīng)用商店備受應(yīng)用軟件困擾時，蘋果卻幾乎沒有受到影響，并且大多數(shù)惡意軟件還是運行在“越獄”了的蘋果設(shè)備上。

2009年，人們發(fā)現(xiàn)了第一款iOS設(shè)備上的惡意軟件，它偽裝成iOS的固件。安裝后，軟件會顯示一條消息，稱“你的手機因為不安全，已被入侵，請訪問www.doiop.com/iHacked解鎖”。當受害人訪問后，便會被要求支付5美元以獲取如何修改他們的密碼和刪除該惡意軟件的信息。

iOS幾乎沒有惡意軟件，而安卓平臺充斥著惡意軟件，這令很多人稱贊蘋果，但事情沒有這么簡單。首先我們從市場占有率來分析，安卓平臺的占有率已經(jīng)超過八成，為了利益，大多數(shù)惡意軟件的開發(fā)者會把安卓平臺作為主要攻擊目標。其次從評估過程來分析，安卓平臺的開發(fā)者只要一次性支付完25美元后，就可以上傳應(yīng)用到Google Play中，過了大約30～60分鐘，就會出現(xiàn)在Google Play。Google的辦法是使用一個叫做Bouncer的“云終端”掃毒軟件，然而像前面提到的更新包就無法被檢測。與此對應(yīng)，AppStore采用靜態(tài)分析以自動檢測API是否合理，并對提交的應(yīng)用進行人工檢查，所以審批過程通常會花費一星期左右的時間。另外，AppStore要求開發(fā)者每年支付99美元的開發(fā)費用，因此會提高進入的門檻。我們可以認為蘋果的嚴格注冊和檢查過程減少了其App商店中的惡意軟件數(shù)。最后我們看一下第三方支持性，安卓平臺是一個開源平臺，支持未知來源的App，這意味著用戶可以安裝來自任何地方的App，當然也容易從有惡意的網(wǎng)站安裝到惡意軟件。默認情況下，手機安裝未知來源軟件是不允許的，但是許多用戶會同意安裝，同時用戶也會被欺騙修改了安全設(shè)置。雖然安卓不會安裝未簽名的APK，但是安卓也不關(guān)心是誰簽名了該應(yīng)用。所以谷歌或其他受信任的應(yīng)用商店沒有必要對應(yīng)用進行簽名。另外，蘋果只允許用戶從它自己的App商店或企業(yè)應(yīng)用商店（假定適當?shù)钠髽I(yè)配置文件已經(jīng)安裝在設(shè)備中）中下載安裝應(yīng)用。iOS內(nèi)核通過只執(zhí)行經(jīng)審核過可信簽名的代碼來強化這種限制。用戶必須“越獄”后才能在他們的手機中安裝第三方市場的應(yīng)用。

惡意軟件的制作者也沒有停下升級的腳步。惡意軟件的數(shù)量在不斷增大，質(zhì)量在不斷提升，移動系統(tǒng)的安全性也隨之不斷提高，如之前提到安卓6.0系統(tǒng)的安全性有了很大提高，但是安卓系統(tǒng)是開放式系統(tǒng)，品牌的全面更新?lián)Q代較緩慢。谷歌2015年10月就已經(jīng)推出了安卓6.0系統(tǒng)，直至今年2月，其市場占有率僅僅達到1.2%，市場上占有率最高的仍是安卓5.0和安卓4.4等早先發(fā)布的版本。與此相反，蘋果iOS系統(tǒng)于2015年9月發(fā)布了iOS9.0版本，至今年初已經(jīng)占據(jù)蘋果手機75%的份額。這主要是因為蘋果系統(tǒng)的更新是通過蘋果公司直接向用戶推送來實現(xiàn)的，而安卓系統(tǒng)除了Google開發(fā)的nexus系列設(shè)備，其他各個手機品牌基本上是使用經(jīng)過自己改裝的系統(tǒng)（基于安卓平臺），用戶只能收到基于手機品牌安卓系統(tǒng)的推送。由于很多廠商采用了機海戰(zhàn)術(shù)，種類繁多的機型使得廠商無法及時推出升級包，導致很多設(shè)備一直停留在剛發(fā)布時使用的系統(tǒng)，造成Google發(fā)布的最新安卓系統(tǒng)難以在第一時間推送到用戶手中。盡管安卓系統(tǒng)在與蘋果等其他系統(tǒng)的競爭中將繼續(xù)保持優(yōu)勢地位，但谷歌必須加強與各個手機品牌的合作才能加速安卓系統(tǒng)的更新?lián)Q代。

邱元陽：移動網(wǎng)站暗藏玄機

很多時候，漏洞的來源并不是移動設(shè)備，而是用戶所訪問的網(wǎng)站。

手機中的各種不同版本的主流瀏覽器已經(jīng)和桌面版本非常相似，所有HTML5的效果通常也可以在這些移動端APP上實現(xiàn)。所以很不幸，這些平臺存在的XSS攻擊、SQL注入攻擊等對于移動設(shè)備也同樣有效。

XSS是Web應(yīng)用程序沒有充分過濾用戶輸入內(nèi)容，或者瀏覽器沒有充分過濾頁面輸出內(nèi)容，導致的應(yīng)用層安全漏洞。攻擊者利用XSS漏洞能訪問受害者的敏感信息。XSS攻擊有三個步驟：①用戶訪問的網(wǎng)站是一個存在XSS漏洞的網(wǎng)站。②攻擊者發(fā)現(xiàn)該網(wǎng)站的XSS漏洞，向其中注入惡意代碼，并誘導用戶點擊訪問。③用戶訪問了注入惡意代碼的Web頁面，惡意腳本在用戶的瀏覽環(huán)境中執(zhí)行，攻擊者的攻擊目的達到。

與PC瀏覽器相比，大多數(shù)移動設(shè)備的存儲容量是比較小的，這就限制了移動瀏覽器存儲的信息量。主要的差異就是為Cookies分配的存儲空間，在PC中，網(wǎng)站會給不同功能應(yīng)用以不同的Cookies，包括維持會話的Cookies，而在移動設(shè)備中由于存儲空間有限，一般只會存儲會話Cookies。

最近新浪微博爆出一個XSS漏洞，攻擊者只要精心構(gòu)筑一個頁面，受害者一旦進入該用戶構(gòu)建的首頁，就會把自己的Cookies傳輸?shù)焦粽叩姆?wù)器中。攻擊者獲取了受害者的Cookies后，就可以登錄他的微博賬號（如圖2）。

SQL注入是一種非常古老但實用的攻擊方式。這種攻擊方式主要是攻擊者通過Web向后臺數(shù)據(jù)庫發(fā)送SQL語句，這些Web程序未審查輸入或未采用參數(shù)化查詢請求。SQL注入的原理很簡單，攻擊者向Web程序中的Form、Cookies字段插入SQL語句，而不是合法的值。這些Web程序收到用戶的輸入信息后將其傳輸?shù)綌?shù)據(jù)庫，數(shù)據(jù)庫接收到信息后執(zhí)行語句，如刪除用戶。已經(jīng)有黑客實現(xiàn)了用一條含有SQL語句的短信控制手機。

為了避免SQL注入漏洞，就需要Web程序能夠清晰地區(qū)分SQL語句與其包含的參數(shù)數(shù)據(jù)。如果參數(shù)數(shù)據(jù)被構(gòu)建成SQL語句的一部分，就將導致SQL注入能產(chǎn)生嚴重的后果——從干擾用戶的錯誤提示到能夠使整個Web平臺崩潰。在現(xiàn)今的安卓平臺上，可以從查詢語句中區(qū)分參數(shù)數(shù)據(jù)來進行參數(shù)格式查詢，安卓中ContentProvider的方法query（ ）、update（ ）、delete（ ），Activity的方法managedQuery（ ）都支持參數(shù)化查詢。使用“String [] selectionArgs”參數(shù)，該參數(shù)是一個值的集合，插入到查詢語句中的“？”，并以問號出現(xiàn)的順序依次插入，這樣可以防止用戶輸入導致的SQL注入。

二維碼掃描也存在問題。2014年，安卓平臺上的Webview UXSS漏洞掀起了一場腥風血雨。由于安卓系統(tǒng)自帶的WebView組件使用Webkit作為瀏覽器內(nèi)核，導致Webkit的歷史漏洞就存在于Webview中，其中包括危害比較大的UXSS漏洞。WebView組件用來渲染網(wǎng)頁，幾乎存在于所有的Android App中。如果掃描二維碼得到的結(jié)果是個網(wǎng)址，大部分App會直接用Webview來打開，由于Webview存在UXSS漏洞，所以很容易導致資金被竊、賬號被盜或者隱私泄露。識別出來的二維碼默認以HTML形式展示，可以執(zhí)行HTML和JS，因此也可以執(zhí)行XSS代碼。如圖3所示，用戶掃描了惡意二維碼后，攻擊者便有權(quán)限讀取本地文件。

金琦：未雨綢繆，提前防護

簡單概括一下，移動安全有著很長的一條信任鏈，關(guān)系到了移動設(shè)備、App、移動網(wǎng)絡(luò)。移動設(shè)備上容易出現(xiàn)預裝App產(chǎn)生安全威脅。移動應(yīng)用方面，從第三方應(yīng)用商店下載下來的App，很容易產(chǎn)生惡意收費、竊取隱私的情況。移動網(wǎng)絡(luò)也不容樂觀，偽基站、中間人攻擊等環(huán)節(jié)出現(xiàn)問題，都會構(gòu)成移動安全問題。正是因為移動安全的信任鏈如此之長，所以下手的途徑和方式非常之多，使得移動安全的應(yīng)對很復雜。

某些時候，手機如果遺失或者被竊，損失最大的可能還在于手機中的關(guān)鍵個人信息落入了他人手中，進而造成嚴重后果。比如對于無鎖屏密碼或者無指紋密碼的手機來說，不懷好意者可借此登錄網(wǎng)上營業(yè)廳，輸入隨機密碼就可以獲得手機主人的所有實名信息。之后便可以用此號碼進行支付寶、銀行卡等財產(chǎn)操作。

為了防范丟失手機造成嚴重后果，手機的鎖屏和SIM卡的PIN碼必須同時啟用，缺一不可。只要手機的SIM卡設(shè)置了PIN碼，那么此SIM卡插入另一臺手機就需要PIN碼進行解鎖，不解鎖就無法接收短信和撥通電話。

iPhone用戶可打開指紋驗證和“查找我的iPhone”功能，iCloud設(shè)置強力密碼，并開通二次驗證功能。

支付寶等常用App建議開啟指紋密碼和付款密碼。

發(fā)現(xiàn)手機丟失后，應(yīng)立即撥打電話給通信運營商，掛失SIM卡。iPhone用戶立即登錄iCloud網(wǎng)站，啟用“查找我的iPhone”并開啟丟失模式。

安卓用戶可以下載Lookout應(yīng)用，在錯誤地輸入手機密碼、取出SIM卡、開啟飛行模式、關(guān)機和移除Lookout應(yīng)用這五種行為后，Lookout會自動利用手機前置攝像頭拍攝照片（因為它假設(shè)可疑人員在使用手機），同時記錄拍攝時間和地點，之后將這些信息以電子郵件的形式發(fā)送給機主，方便他們采取下一步行動，如抹去手機記錄或者直接報警。

為了保證App能安全使用，iPhone用戶盡量不要“越獄”，也不要下載未經(jīng)AppStore審核的應(yīng)用。建議安卓用戶最好給手機安裝一個安全軟件，如360手機衛(wèi)士、騰訊手機管家、金山毒霸、百度手機衛(wèi)士、Avast！等，這些安全軟件基本能在下載和安裝階段攔截掉病毒。更需格外引起注意的是：不要隨便掃描二維碼，下載APK安裝包，更不要安裝不了解的App。如果安裝了一個App后發(fā)現(xiàn)沒有圖標，有大概率是病毒應(yīng)用，此時應(yīng)該立刻打開飛行模式，斷開網(wǎng)絡(luò)，把支付寶等余額轉(zhuǎn)入關(guān)聯(lián)的銀行卡并解除銀行卡綁定。備份手機里的重要資料，如通訊錄、短信、通話記錄，之后恢復手機出廠記錄并格式化存儲卡。

VPN（Virtual Private Network/虛擬專用網(wǎng)絡(luò)）被定義為通過一個公用網(wǎng)絡(luò)建立一個安全的連接，VPN主要采用隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)以及使用者與設(shè)備身份認證技術(shù)。安全的VPN使用加密穿隧協(xié)議，通過阻止截聽與嗅探來提供機密性，還允許發(fā)送者身份驗證，以阻止身份偽造，同時通過防止信息被修改提供消息完整性。對于公共Wi-Fi，有條件的用戶可以申請一個VPN賬號，之后關(guān)閉所有應(yīng)用，開始連接VPN。使用了VPN后可以防止中間人攻擊和惡意引導，不過對偽基站攻擊無法防御。

在大數(shù)據(jù)時代，便捷的移動網(wǎng)絡(luò)給了人們更快的使用體驗，也讓個人隱私有更多暴露的機會。移動終端安全知識的普及仍然任重道遠，在廠商和用戶不斷提高的安全手段和意識下，相信移動安全將迎來嶄新的明天。