移動互聯(lián)網(wǎng)手機應用安全分析

◆梁云杰

（公安部消防局 北京 100054）

移動互聯(lián)網(wǎng)手機應用安全分析

◆梁云杰

（公安部消防局 北京 100054）

移動互聯(lián)網(wǎng)已經(jīng)成為人們生活中重要的組成部分，到目前為止已經(jīng)有6億多人在通過手機終端使用移動互聯(lián)網(wǎng)，可見移動互聯(lián)網(wǎng)手機應用有著大量的使用群體，對人們的生活產(chǎn)生巨大的影響。為了滿足人們的應用需求，移動互聯(lián)網(wǎng)正逐漸向“互聯(lián)網(wǎng)中性化”的方向發(fā)展，在這個方向的指引下產(chǎn)生了新的手機應用方式，促進移動互聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展。但是在移動互聯(lián)網(wǎng)快速發(fā)展的過程中也存在著很多問題，使移動互聯(lián)網(wǎng)受到了安全的威脅。因此，要對移動互聯(lián)網(wǎng)手機應用安全進行深入的分析，以解決移動互聯(lián)網(wǎng)手機應用面臨的安全問題。

移動互聯(lián)網(wǎng); 行為分析; 應用安全

1 移動智能終端在線軟件應用商店

1.1 移動應用商店的發(fā)展現(xiàn)狀

移動應用商店的應用會涉及到不同的環(huán)節(jié)，包括智能手機、互聯(lián)網(wǎng)、經(jīng)營商、開發(fā)者等。移動應用商店的功能是通過智能手機來實現(xiàn)的，在移動互聯(lián)網(wǎng)的環(huán)境下供用戶使用，平臺供應商負責經(jīng)營整個移動應用商店，通過與開發(fā)者進行合作，確保開發(fā)出的軟件獲取收益。蘋果公司開發(fā)出的App Store，促進了移動應用商店的發(fā)展，成為其他應用商店的發(fā)展。在投入運營之后，無論在軟件的購買數(shù)量和下載量都取得了巨大的成就，與眾多的移動應用商店建立聯(lián)系。因此，App Store取得了巨大的成就，得到了各個經(jīng)營商的效仿，使移動智能終端獲得了巨大的發(fā)展。

1.2 移動應用商店的安全保障

操作系統(tǒng)開發(fā)商為了保證移動應用商店應用的安全性，利用安全認證沙盒對于具有軟件的應用權限進行限制，為移動應用商店的發(fā)展提供了安全保障。應用商店應該具有嚴格的審查功能，嚴格限制即將進入應用商店的軟件，保障進入移動應用商店的軟件不具備病毒和惡意代碼，確保軟件的綠色安全。為了保證軟件運行過程中穩(wěn)定性和安全性，需要對軟件的網(wǎng)絡應用能力進行測試，為用戶提供好的應用環(huán)境。同時對移動商店的軟件等級規(guī)劃，通過撥測確立軟件的等級，根據(jù)軟件的等級和受歡迎情況，進行綜合排名，使用戶能夠很好的了解軟件的信息，以保障用戶下載軟件使用的安全性。

1.3 移動應用商店的產(chǎn)業(yè)鏈

移動應用商店產(chǎn)業(yè)鏈十分復雜涉及到移動運營商、應用商店運營商、應用開發(fā)者移動終端生產(chǎn)商、操作系統(tǒng)開發(fā)商和用戶等幾個部分，如圖1所示。移動運營商為用戶提供移動互聯(lián)網(wǎng)絡，使用戶能夠獲得更好的網(wǎng)絡體驗，提高移動應用商店的應用效果。應用的開發(fā)者在開發(fā)應用的過程中會利用操作系統(tǒng)開發(fā)商提供的API，而移動終端生產(chǎn)商則為用戶提供優(yōu)質的移動終端，最終應用商店運營商會收取用戶的費用，獲得的費用按照一定比例分配給應用開發(fā)者。

圖1 移動應用商店的產(chǎn)業(yè)鏈

2 智能終端軟件行為分析方法

人們在平時的辦公、通信、休閑等活動都會應用到智能終端軟件，對于人們的生活產(chǎn)生了巨大的影響，而在應用智能終端軟件的過程中會涉及到安全問題。但是目前并沒有一定嚴格的限制，使市場上出現(xiàn)很多流氓軟件阻礙軟件市場的健康發(fā)展。

2.1 動態(tài)監(jiān)控技術

動態(tài)監(jiān)控技術主要將待檢查的軟件安裝到測試機上，通過對軟件的使用，來檢測是否存在吸費、竊取秘密等惡意行為的發(fā)生，通過實際運行的方式來對軟件進行有效的檢測。這種動態(tài)監(jiān)控技術的監(jiān)測程序十分簡單，極大的提高檢測人員的工作效率，是軟件檢測人員常用的監(jiān)控技術，如圖2所示。動態(tài)監(jiān)控技術只能夠檢測出軟件中的一些較為簡單的病毒，但是對于一些潛伏能力比較強的病毒的檢測效果并不是很好，這需要采取更加細致、科學的檢測方法來對軟件進行檢測。

圖2 使用動態(tài)監(jiān)控技術檢測軟件

2.2 靜態(tài)反匯編分析

靜態(tài)反匯編分析與動態(tài)監(jiān)控技術不同，并不需要將軟件安裝在測試機上，利用反匯編對軟件執(zhí)行文件進行轉換，以可閱讀編碼的形式呈現(xiàn)出來，通過靜態(tài)反匯編工具對可閱讀編碼的分析，找出深藏在軟件內部的惡意行為。一般軟件的開發(fā)者會發(fā)布APK格式的軟件安裝包，安裝包內包含軟件的所有信息，而APK包都是加密的，需要對其進行編碼轉換，轉換后的代碼包含著程序運行流程，調用的系統(tǒng)資源等信息，因此，通過對代碼進行分析可以準確地找出軟件中的一些影響安全的操作行為。靜態(tài)反匯編分析是最為科學的軟件分析方法，可以深度的分析出軟件的惡意行為，但是由于靜態(tài)反匯編分析對于分析人員的專業(yè)能力要求比較高，需要進行反復的分析，一般作為輔助性的軟件檢測方法，在智能終端軟件行為分析方面應用并不是十分廣泛[1]。

3 關于移動互聯(lián)網(wǎng)手機應用的安全建議

手機已經(jīng)成為人們生活中必不可少的工具,在人們的工作和生活中扮演著重要的角色,而在移動互聯(lián)網(wǎng)手機應用過程中會出現(xiàn)安全問題,對人們的切身利益造成影響,以下將對移動互聯(lián)網(wǎng)手機應用的安全性進行深入的分析,確保移動互聯(lián)網(wǎng)手機的廣泛應用。

3.1 進一步推進與細化移動互聯(lián)網(wǎng)的網(wǎng)絡與信息安全標準工作

移動互聯(lián)網(wǎng)手機的應用在給人們生活帶來極大便利的同時也出現(xiàn)了網(wǎng)絡詐騙、有害信息發(fā)布、敵對勢力滲入等問題，而解決這些問題最有效的方法是推進與細化移動互聯(lián)網(wǎng)的網(wǎng)絡與信息安全標準工作，可以通過以下三個方面來確保移動互聯(lián)網(wǎng)的網(wǎng)絡與信息安全體系的建立。第一，要確定移動互聯(lián)網(wǎng)手機應用軟件的先進性與可靠性，確保在軟件運行過程中對軟件的情況進行全面的監(jiān)控，做到及時發(fā)現(xiàn)和處理。第二，按照國際規(guī)定對IT產(chǎn)品的安全性進行評測，確保IT產(chǎn)品投入到市場之前本身的安全性。第三，建立軟件運行異常的反映機制，將廣大用戶發(fā)展成為惡意軟件的舉報者，積極推動網(wǎng)絡與信息安全標準化[2]。

3.2 研究制定移動應用商店的專門管理辦法

移動應用商店的業(yè)務管理在近幾年內才形成一個完整的產(chǎn)業(yè)鏈條，并沒有一個專門的管理辦法，這使得這個領域的管理比較混亂，經(jīng)常會出現(xiàn)惡性競爭，甚至會出現(xiàn)違法行為的產(chǎn)生，因此要研究制定移動應用商店的專門管理辦法。首先，在移動應用商店的管理辦法中要對項備案進行的流程進程規(guī)定，保證專項申請過程中的公平性和合理性。其次，移動應用商店的管理辦法中要有關于經(jīng)營者責任和義務的規(guī)定，對經(jīng)營者的經(jīng)營行為進行監(jiān)督。再次，移動應用商店的管理辦法應該規(guī)定經(jīng)營者對第三方終端的審核責任，并且要規(guī)范第三方的行為。最后，在移動應用商店的管理辦法出臺之前按照“誰經(jīng)營誰負責，誰引入誰負責”的原則規(guī)范各方的行為。

3.3 加強對智能終端軟件系統(tǒng)的第三方安全檢測及評估

新型智能終端緊密捆綁管理應用和內容的管理直接關系到移動互聯(lián)網(wǎng)手機的安全性。智能提高能終端軟件系統(tǒng)的第三方安全檢測及評估的水平要做到以下幾點：第一，確保智能終端軟件全管理制度的完整性和科學性，做好整個監(jiān)管和評估過程監(jiān)管，保障相關人員能夠按照管理制度的規(guī)定行為進行操作。第二，制定各類智能終端軟件的安全技術標準，提高操作的標準性，保障安全評估的效果。第三，做好對相關軟件的研發(fā)工作，從根本上減少軟件出現(xiàn)安全問題的概率，從軟件的研發(fā)到應用的整體過程都要進行安全性評估。第四，建立用戶安全問題的反應機制。用戶是手機智能終端軟件的直接使用者，應該是智能終端軟件系統(tǒng)的第三方安全檢測及評估的主要力量，應該調動用戶進行安全檢測的積極性，提高智能終端軟件的安全性。

3.4 積極應對境外移動應用商店和第三方應用平臺帶來的安全問題

隨著移動互聯(lián)網(wǎng)的發(fā)展，境外移動應用商店和第三方應用平臺也參與到了國內的移動互聯(lián)網(wǎng)手機應用市場中。但是由于國內法律法規(guī)管理體系中對于移動應用商店和第三方應用平臺的相關規(guī)定很少，對于境外移動應用商店和第三方應用平臺并不能夠進行很好的限制，這需要與境外移動應用商店和第三方應用平臺進行交涉，使其能夠遵守國內的法律法規(guī)，以確保移動應用商店和第三方應用平臺應用的安全性。

3.5 手機應用商城要建立上架手機軟件的監(jiān)督機制

目前，國內的手機應用商城很多，一款手機應用軟件在不同的手機應用商城都有銷售，為了確保為用戶提供一個良好的手機軟件使用環(huán)境，手機應用商城要建立上架手機軟件的監(jiān)督機制。手機應用商城在上架之前需要對手機應用軟件的安全性進行檢測。在手機軟件的應用過程中需要根據(jù)收集的下載量、嵌入廣告等信息進行統(tǒng)計，在綜合各方面信息的情況，確定不同手機軟件的排名。此外，應用商城還需要開放相關接口以供監(jiān)測。

[1]黃斐一，武靜雅，孔繁盛.移動互聯(lián)網(wǎng)手機應用安全研討[J].移動通信，2014.

[2]熊艷平.關于移動互聯(lián)網(wǎng)下的手機應用產(chǎn)品服務設計分析[J].信息與電腦（理論版），2016.