智能手机安全分析

江苏省通信管理局 刘永清 任光裕

智能手机安全分析

江苏省通信管理局 刘永清 任光裕

背景

在2014年3·15晚会上，央视曝光了大量智能手机被经销商预装了恶意软件，导致手机被定制莫名服务、恶意扣费，泄露用户个人隐私等。央视调查显示，北京鼎开互联公司通过手机植入式服务平台，为手机经销商量身订作手机装机软件，他们把软件预安装在行货手机中，大部分用户由于担心保修问题一般不敢删除这些预装软件，该公司每月预装130万部手机，仅预装业务为北京鼎开互联公司每月带来不菲的违法收入。

央视还曝光了另一家互联网公司——大唐高鸿，该公司拥用4604家加盟代理商，每月安装100万部以上的手机，已安装手机超过4600万部，预安装百度搜索、酷我音乐、新浪新闻等17款流行软件，手机经销商每安装一款软件可以从大唐高鸿获得0.7-3元不等的收入。这些被预装软件的手机在使用后，通过部分违规软件可以监测用户使用情况，通过隐藏的自动开启的后台程序获取IMEI、MAC地址等手机设备信息及手机型号、手机应用软件列表，监控手机软件的应用时间、网络流量等信息，并将这些信息发送到大唐高鸿的官网服务器，这一行为侵犯了手机用户的个人隐私。

移动互联网发展现状

央视报道的经销商预植入软件只是手机感染恶意程序的一种方式，这些恶意程序无孔不入，除了手机的生产、销售环节外，手机应用商店、论坛下载站点等都可能成为手机感染恶意程序的主要途径。根据《2013年度江苏省互联网网络安全报告》统计，2013年，仅江苏省就发生520,928,965起移动互联网恶意程序事件，平均每月有872,458个用户感染恶意程序。其中，安卓平台全年共有6,951,835个用户感染，占被感染用户总数的66.40%。

为什么智能手机感染恶意程序数量呈爆发式增长，这与移动互联网普及带动智能手机快速增长密切相关。根据中国互联网络信息中心（CNNIC）发布的第34期《中国互联网络发展状况统计报告》显示，截至2014年6月，中国网民规模达6.32亿，其中，手机网民规模5.27亿，互联网普及率达到46.9%。网民上网设备中，手机使用率达83.4%，首次超越传统PC整体80.9%的使用率，手机已成为第一大上网终端。工信部发布数据显示，2011、 2012年，我国智能终端出货量分别为1.18 亿、2.24 亿部，2013年前11个月的我国智能手机出货量为3.48 亿部。

手机恶意程序的定义

随着移动互联网逐步普及，部分心怀不轨的人开始盯上智能手机，通过编写恶意软件，并通过各种方式潜伏在用户的终端上，获取用户的隐私信息，或者肆意定制付费业务等，以此获得不正当的收入。根据通信行业标准《移动互联网恶意程序描述格式》（YD/T 2439-2012）规定，移动互联网恶意程序主要分为恶意扣费、隐私窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗欺诈、流氓行为等八大类型。

1、恶意扣费

恶意扣费是手机恶意软件中最常见的行为，在用户不知情或未授权情况下，通过隐蔽执行、欺骗用户点击等手段，订购各类收费业务或使用手机支付，导致用户经济损失。恶意扣费的典型表现：1）自动订购移动增值业务；2）自动订购收费业务；3）自动利用手机支付功能进行消费；4）直接扣除用户资费。[1]

2、隐私窃取

隐私窃取是近年来常见的一种手机安全威胁，恶意软件在用户不知情或未授权的情况下，获取涉及用户隐私信息。隐私窃取类软件的典型表现：1）获取短信、彩信、邮件、通讯录以及通话记录等内容；2）获取地理位置、手机号码等信息；3）获取本机已安装软件、各种账号、各类密码等信息。4）通过手机使用网银、支付宝、微信、QQ等业务，各类账号都存在被盗用的风险。

3、远程控制

远程控制是PC和手机安全威胁中常见的一种形式，在用户不知情或未授权的情况下，通过控制端控制一个或多个受控端，对受控端进行远程操作，用户的手机一旦被远程控制，将面临群发短信、恶意扣费、下载病毒等威胁。远程控制行为的典型表现：1）由控制端主动发出指令进行远程控制；2）由受控端主动向控制端请求指令。

4、恶意传播

在用户不知情或未授权的情况下，通过复制、感染、投递、下载等方式将自身及衍生物或其它移动互联网恶意代码进行扩散的行为。恶意传播类恶意软件行为典型特征：1）发送包含恶意代码链接的短信、彩信、邮件等；2）利用蓝牙、红外、无线网络通讯技术向其它移动终端发送恶意代码；3）下载恶意代码、感染其它文件、向存储卡等移动存储设备上复制恶意代码。

5、资费消耗

在用户不知情或未授权的情况下，通过自动发送短信、彩信、邮件、连接网络等方式，导致用户资费损失。资费消耗类恶意软件典型特征：1）自动发送短信、彩信、邮件；2）自动连接网络，产生网络流量。

6、系统破坏

手机的恶意程序被激发后，就可能进行破坏活动，轻者加剧手机耗电、降低运行速度，重者使手机中的重要文件、数据被肆意篡改或全部丢失，甚至使整个手机系统瘫痪。系统破坏类恶意软件典型特征：1）卸载手机中的其他软件；2）删除、修改或者破坏手机中的数据；3）破坏手机的操作系统。

7、诱骗欺诈

诱骗欺诈类恶意软件通常带有隐私获取的特征，通过伪装成系统组件、应用软件或游戏软件诱骗用户下载安装后，或进行广告推广，或窃取、收集用户手机IMEI号或MAC地址等固件信息，造成用户隐私泄漏。诱骗欺诈类恶意软件典型特征：1）通过伪装诱骗用户下载安装；2）推送广告信息；3）窃取用户隐私。

8、流氓行为

一般是指在用户不完全知情和认可（包括未经用户许可、强迫引导用户许可或隐瞒关键信息等）的情况下强行安装恶意软件到用户手机中，或者一旦安装就无法正常卸载和删除，进而强行弹出广告，强迫用户接受某些操作。流氓行为类恶意软件典型特征：1）强行用户安装；2）用户无法以正常的手段卸载和删除；3）弹出式广告或以其他形式进行广告宣传。

手机恶意程序的检测

针对全球日益严重的手机安全问题，越来越多的移动互联网安全厂商开始研究手机恶意软件的检测方法，提升移动互联网的使用安全。

1、专业人员检测方法

目前通常有两种主流的恶意软件检测方法是：基于特征代码的检测和基于行为的检测。[2]

（1）基于特征代码的检测方法需要从恶意软件中提取出若干段具有唯一性、固定性的字节码作为该恶意软件的特征，并通过大量的恶意软件样本构建特征库，通过特征库中的特征串去检测待测文件或内存，发现匹配项则可判断目标感染了恶意代码。基于特征代码的检测方法具有效率高、误报率低等优点，但是无法检测到新型的恶意程序。

（2）基于行为的检测方法依靠监视程序的行为，与已知的恶意行为模式进行匹配，来判断目标程序是否具备恶意趋向。基于行为的检测方法具有特征库小、无需频繁更新等优点，并能够检测到未知恶意程序。

2、普通用户检测方法

虽然手机恶意软件的检测是一项非常专业的技术工作，但是作为普通的智能终端用户，通过观察手机运行状况也能够大致判断手机是否感染恶意软件。

（1）在手机任务管理器中查看手机到底运行了哪些软件，根据软件的运行情况初步识别恶意软件；

（2）打开手机流量监控，查看哪些软件消耗的流量特别多，对于自己没有安装且流量消耗高的软件，则需认真辨别是不是恶意软件；

（3）查询电话账单，查看每个月通信消费的详细情况，从中判断自己是否有被恶意扣费；

（4）借助第三方软件，如360手机卫士等，对手机的自启动应用、授权root应用等进行全面检查，进一步判断手机中是否有恶意软件。

避免感染恶意程序的建议

恶意软件在智能手机的生产、销售、使用等过程的任一环节都可能被植入安装，因此，智能手机用户应警惕这些恶意软件的传播渠道，养成良好的手机使用习惯，是能够做到远离手机恶意软件的，为此提出以下建议供参考：

（1）普及智能手机安全常识，注意保护个人隐私；

（2）不要购买水货和无入网许可的手机；

（3）不要随意点击短信、彩信中链接；

（4）不要轻易扫描陌生的二维码；

（5）不要在公共场所使用缺乏信誉度的免费WIFI；

（6）不要接受陌生蓝牙、红外等无线连接请求；[1]

(7)去官方手机应用商店和知名手机软件站点下载软件；

(8)安装专业的手机安全软件，对手机进行安全加固；

(9)经常查看话费清单，检查流量有无异常。

结束语

移动通信网络进入4G时代，智能手机正在快速取代传统手机，随着手机各种应用的普及，手机恶意软件也朝着多样化、隐蔽性方向发展，手机恶意软件的表现与电脑病毒木马的表现也越来越相似。[1]由于智能手机不可避免的将存储越来越多的商业秘密和个人隐私等敏感信息，也将面临更大的安全威胁。作为普通智能手机用户必须要了解一定的恶意软件甄别方法，同时养成良好的手机使用习惯，避免或减少自身的损失和危害。

[1] 金山手机安全中心, 中国手机恶意软件分析报告, 2011.03

[2] 童振飞,杨庚. Android平台恶意软件的静态行为检测. 江苏通信, 2011.02