移动互联网手机应用安全研讨

黄斐一++武静雅++孔繁盛

【摘 要】介绍了移动互联网手机应用的安全现状、发展趋势以及典型的手机应用恶意行为。为降低恶意应用给用户带来的安全威胁，着眼整个移动互联网手机应用行业，提出了一个手机应用安全管控体系，该体系包含了应用上线前检测和上线后监控2个主要阶段。通过手机安全管控体系可以有效管控手机恶意应用，提高用户使用体验。

【关键词】手机应用 恶意行为 安全检测

中图分类号：TP393.4 文献标识码：A 文章编号：1006-1010（2014）-17-0060-04

1 背景简介

随着移动互联网爆炸式的发展，智能手机终端所面临的安全威胁日益突出。其安全威胁包括恶意应用、骚扰电话、垃圾短信等，其中恶意应用对用户的危害最大。2014年8月2日，来自广东的大一学生开发了一款名为“XX神器”[1]的病毒，在一天之内感染超过百万部手机。它的形态是这样的：用户接收到一条短信，里面包含“http：//cdm.xx.xx/xx/xxshenqi.apk”的地址。当Android手机用户点击该地址时，会直接下载这个apk安装文件，下载完成后，系统将进入安装流程。如果用户授予手机安装任何软件的root权限，系统将不询问用户，直接安装。如果没有root权限，系统在安装过程中会询问用户是否授予这些权限，没有警觉性的用户会直接点“是”。当“XX神器”被安装以后，它将遍历这个用户通讯录里的所有联系人，并给这些联系人发送固定内容的短信。短信中包含了该软件的下载地址。由于是好友发送的短信，收信人看到后极有可能点击下载安装，所以极具欺骗性和传播性。

根据360互联网安全中心在2014年7月31日发布的报告[2]：2014年上半年，累计截获Android平台新增恶意程序样本超过84.0万个，其中第二季度新增62.5万个，较2013年第二季度同比大幅增长381%，较2014年第一季度环比增长191%。在所有手机恶意程序中，资费消耗类恶意程序的感染量仍然保持最高，占感染人次占总数的62.9%；恶意扣费类和隐私窃取类恶意程序的感染量分别为17.9%和17.3%；诱骗欺诈类恶意程序的感染量占比1.0%；其他类型占比之和约为0.9%。

手机恶意应用泛滥问题的根源来自多个方面：

（1）手机用户：现阶段，国内很多手机用户使用手机应用尚无付费习惯。庞大的受众群体使得免费应用成为恶意程序扩散的主要手段。

（2）应用开发者：除了开发收费应用之外，一部分开发者为了生存，可能不择手段的寻找各种盈利手段，比如以各种手段诱骗、吸引用户下载并安装应用，利用其内嵌的广告盈利。

（3）软件下载渠道：下载渠道的主要盈利方式是建立在吸引大量开发者发布应用的基础上。若对应用进行严格的检测，可能导致该渠道的软件来源减少进而影响收入。这将导致渠道商没有进行严格安全检测的动力和积极性，甚至可能采取纵容的态度。

（4）安全厂商：为手机用户提供了免费的杀毒软件，并可以为软件下载渠道提供软件安全检测服务。但是免费杀毒的模式与其他软件开发者生存模式一致，都是靠用户数量盈利，无法保证其权威性与公正性。

（5）电信运营商：为软件下载提供网络连接，通过流量收取费用。目前运营商已开始在网络侧对恶意应用进行监测，不过尚在起步阶段。

（6）国家监管机构：目前我国在手机应用安全监管方面的工作刚刚起步，没有统一的政策、标准等监管要求，也缺乏相关监管手段进行支撑，对手机恶意应用泛滥的现状力不从心。

综上所述，恶意应用的泛滥有多方面的原因，为了达到对其良好管控的目的，产业链的各个环节都需要付出努力。

2 典型手机应用的恶意行为

下面列出了几种较为典型的手机应用恶意行为：

（1）资费消耗：恶意应用在用户不知情的情况下拨打电话、发送短彩信、开启网络连接发送用户数据，导致用户的资费损失。例如某恶意应用伪装为手机壁纸应用诱导用户下载安装，安装后在开机或重启时自动运行某恶意进程，该恶意进程会连网获取返回链接，并不断尝试访问这些链接，通过频繁连接这些网址消耗用户大量流量。

（2）隐私窃取：恶意应用可在用户未确认或不知情的情况下读取用户电话本数据、通话记录、短彩信数据，或者在用户不知情的情况下进行通话录音、拍照、摄像、定位等操作，随后上传收集到的隐私数据。近两年，窃取用户个人隐私正在成为恶意应用的主要目标之一。除了用户隐私信息之外，高价值的用户账户信息也是窃取的主要目标。例如利用某恶意应用，通过淘宝“忘记密码”这一功能重置手机用户的支付宝登陆密码，而重置期间所提示的手机短信，都会被屏蔽，转发给黑客手机服务器，若重置成功，则可盗取用户的淘宝和支付宝账户信息，并将用户账户资金盗走。

（3）恶意扣费：恶意代码通过隐蔽执行、欺骗用户点击等手段，订购各类收费业务或使用移动终端支付，导致用户经济损失。例如恶意扣费应用可以通过在代码内嵌入业务订购地址，或通过在线访问的方式，在用户不知情的情况下发起订购。由于被访问的订购业务是蓄意构造的，可能不具备一系列的认证、二次确认步骤，用户会不知不觉的“被订购”和“被扣费”。

（4）远程控制：一些恶意应用可将安装了该软件的终端变成一部“傀儡机”，在用户不知情或未授权的情况下，接受远程控制指令并执行相应的操作。

（5）流氓行为：恶意应用可能会在后台运行，强制驻留系统内存，额外占用CPU资源，使手机终端运行缓慢，并且用户不能禁止该类软件的开机自启动，或者用户不能删除、卸载该软件。

3 手机应用安全管控体系

应对恶意应用带来的安全威胁，需要产业链每个环节的共同努力。从用户、开发者、渠道商、安全厂商、电信运营商和国家监管机构多个角度来看，手机应用发布渠道商对应用的严格管控、国家行业主管机构对渠道和应用的强力监管是最为有效的2个环节。endprint

3.1 苹果App Store安全检测体系带来的启发

移动应用市场分析机构App Annie 2012年11月发布的报告称，苹果App Store月收入达Google Play的4倍[3]。《连线》杂志发表分析文章表示，收入差距悬殊主要得益于苹果近乎苛刻的质量控制机制和安全审核机制。App Store安全审核机制严格且不透明，主要的审核要点包括了各个方面，其中与安全相关的限制包括：采集用户位置信息的限制、推送通知的限制、应用中包含的广告的限制、媒体内容的限制（不能包含人身攻击、暴力、色情、涉及宗教、文化与种族的不当内容）、不得未经用户许可获得用户隐私信息。除此之外，由于苹果App Store的封闭性，任何应用软件、游戏的升级必须通过App Store完成。这就从另外一个角度杜绝了通过在线更新的方式将恶意代码植入手机应用的可能性。

3.2 手机应用安全管控体系

为了应对恶意手机应用带来的安全威胁，可以考虑从渠道商和行业监管这2个角度构建一个手机应用安全管控体系。该体系主要包括上线前和上线后2个管控阶段，努力实现手机应用上线前无风险，上线后可监控。

（1）为了保证用户安装的手机应用是无毒无害的，则需要手机应用发布渠道商在应用上线前对其开展严格的安全检测。该检测一般包含动态检测技术、静态代码分析技术，并结合人工研判，确保应用软件不包含病毒、木马等恶意代码。

1）静态分析技术

静态分析技术[4]的基础是恶意代码的形式化描述方法。它需要构建恶意代码检测模型和恶意代码数据库，并在模型基础上，结合对Andriod应用程序字节码反编译技术以及iOS应用程序二进制反汇编技术，通过将手机应用与恶意代码数据库进行匹配的方式判定该应用是否包含恶意代码或者感染病毒。它主要包含2类方案：第一，通过扫描引擎将手机应用的安装包进行解压，逐一对单个文件计算特征值，并与恶意代码特征库中的特征值逐一比对，从而判断应用中是否包含恶意性代码；第二，扫描引擎将安装包反编译成虚拟机识别的dalvik字节码，以每个语句单元的“操作码”为主特征码、以细节信息为辅助特征码，与恶意代码特征库进行匹配，若发现匹配项则可判断该应用包含恶意代码或感染了病毒。

2）动态分析技术

静态安全分析技术最大的缺陷在于对尚未添加的恶意代码库的新型程序，无法通过静态特征码扫描技术进行甄别。另外，静态安全分析技术的时效性相对不足，通常恶意程序只有预先经过威胁定义、恶意代码提取等步骤后，才可使用静态特征码扫描。由于恶意代码要达到感染和破坏的目的，所以具备一定的行为特征。因此可以通过动态分析技术[5]监测手机应用的行为来判断其是否具有恶意性。手机应用的行为特征包括对关键硬件外设访问、数据通信使用、收发短彩信、语音通信的使用、数据存储、消耗系统资源等。动态分析技术即利用代码嵌入、模块化组织、分层功能划分等技术手段，对这些行为特征进行全面、准确、实时的监测和分析，结合沙箱技术，发现应用的恶意行为。

（2）上线前安全检测保证了嵌入恶意代码的手机应用无法在各类渠道中上线、发布。但是由于Android体系的开放性，手机应用一旦上线，其版本更新、升级将不再受到发布渠道的限制。初始的版本可能被盗版、改版、嵌入恶意代码。这就需要对手机应用上线后的安全性做好管控。主要手段包括应用发布渠道监测、应用安装后的安全监测、投诉处理和应急响应。

1）发布渠道监测：应用发布渠道监测需要从整个行业层面开展。在国内，较大的Android手机应用商城已经超过了100个，同款应用在这些商城中可能都有上架销售。对于某一款应用而言，渠道监测的主要工作在于监测该应用在不同应用市场的版本数、下载量、盗版软件的下载量、嵌入的广告商等信息，发现和预警应用软件被篡改和盗版的情况。除了自动化的搜索技术、软件同源性分析技术和广告代码分析技术之外，应用商城还需要开放相关的接口以供监测。

2）软件安装后安全监测：该监测的主要目标在于研判应用安装上线后，是否通过合法的渠道进行更新，是否通过更新、升级等方式具有了恶意行为。这就需要通过某个安装在客户端的第三方应用收集客户端上已安装应用的行为，如应用程序本地行为和网络行为数据、应用更新数据等，并提交到网络侧进行分析。如果需要开展此类监测，这个第三方监测应用需要具备一定的公正性和公信力。

3）投诉处理和应急响应：全行业恶意手机应用的投诉处理和应急响应需要从国家行业管理的角度进行考虑。它需要建立投诉处理机制、应急响应机制和相关管理平台，用于收集用户投诉信息，并进行相应的处置。若遇到突发情况，例如应用出现恶意行为、用户投诉、上级要求等，能够及时响应和处置。

4 手机恶意应用发展趋势分析

对恶意应用的治理实际上是与恶意代码编写者长期角力的过程。应对恶意应用的不断发展，检测手段、监控手段也需要不断的更新换代。

（1）恶意应用安全检测难度加大

随着恶意应用升级和新技术的融入，安全检测难度越来越大。恶意应用具有如下发展趋势：首先，恶意应用的功能将不断升级，加入更多新功能，使得其传播、感染范围会不断加大。其次，恶意应用的隐蔽性更强，并将采用更多隐藏进程、代码混淆技术，在加大分析难度的同时进一步威胁用户的手机安全。

（2）病毒传播方式更灵活多变，增加了安全防护的难度

更加多元化的传播方式，增加了手机感染病毒的机率，对安全防护更增加了难度。例如将病毒主体伪装为常用的手机应用，降低用户警惕心理；假借运营商、银行短信端伪造“官方”通知，伪造用户的好友短信、彩信，并在通知和短彩信中包含相关下载链接诱导用户点击安装（“XX神器”就是伪造好友短信诱导用户安装）；利用蓝牙、手机存储卡等方式进行植入传播。

（3）手机病毒将继续向趋利化、多平台化方向倾斜

2014年，手机病毒将继续向多元化、层次化方向倾斜，扣费类病毒在2014年超越传统的以破坏手机运行为目的手机病毒，成为对用户威胁最大的移动安全威胁。伴随Android平台目前在智能机市场的占有率狂飙式增长，以及该系统平台自身开源性较强、签名验证机制较为薄弱、系统自身存在漏洞等原因，目前Android手机已经成为黑客重点攻击的目标。尽管iPhone和黑莓的操作系统由于对外接口有限，开放性不够，但在牺牲了手机功能的情况下，安全性得到了一定保障。但是，国内一些用户的iPhone“越狱”版则没有任何安全性可言，也极易遭遇手机病毒威胁。

参考文献：

[1] 通信产业网. “XX神器”惊扰七夕节 警惕移动互联病毒[EB/OL]. （2014-08-18）. http：//www.ccidcom.com/html/hulianwang/yidonghulianwang/201408/18-231796.html.

[2] 360互联网安全中心. 2014年第二期中国手机安全状况报告[EB/OL]. （2014-07-31）. http：//zt.360.cn/report/.

[3] 王艳红，杨丁宁，史德年. 当前移动应用软件常用安全检测技术[J]. 现代电信科技， 2012（9）.

[4] 路程，张淼，徐国爱. 基于源代码静态分析技术的Android应用恶意行为检测模型[EB/OL]. （2011-11-03）. http：//www.paper.edu.cn/releasepaper/content/201111-54.

[5] 吴俊军，方明伟，张新访. 基于启发式行为监测的手机病毒防治研究[J]. 计算机工程与科学， 2010（1）.endprint