移动智能终端的个人信息安全技术分析

彭春晖 中国信息通信研究院南方分院新业务部副主任，助理工程师

林巧珊 中国信息通信研究院南方分院助理工程师

移动智能终端的个人信息安全技术分析

彭春晖 中国信息通信研究院南方分院新业务部副主任，助理工程师

林巧珊 中国信息通信研究院南方分院助理工程师

从目前移动智能终端的个人信息安全技术状况以及主流操作系统的安全策略出发，分析了移动智能终端个人信息安全所面临的安全威胁，并从技术层面和管理层面给出了相应的防护策略和建议。

移动智能终端 安全机制 个人信息安全 应用程序

1 引言

移动互联网的飞速发展推动了移动智能终端的快速普及。与传统终端相比，移动智能终端应用了移动通信技术、计算机技术和多媒体技术的最新成果，给人们带来了前所未有的丰富体验。移动互联网的迅猛发展推动了移动智能终端数量的急剧增加、应用功能的日益增多。伴随着终端智能化及网络宽带化的趋势，移动互联网业务层出不穷、日益繁荣。但作为业务载体的智能终端却面临各种安全威胁，如恶意订购、盗取账户、监听通话等。与此同时，智能终端越来越多地涉及商业机密和个人隐私等敏感信息，智能终端作为移动互联网业务最主要的载体，面临着严峻的安全挑战。

随着移动终端操作系统的功能日益多样，其漏洞随之增加并导致安全事件种类增多；特别是移动智能终端操作系统开放性提高，使移动智能终端病毒开发更为容易；带宽增加，使更加复杂多样的病毒通过各种数据业务进行传播成为可能；多样的外部接口增加了病毒传播的渠道；移动终端使用量提高和数据业务日益多样和应用的发展，促使手机安全事件大规模滋生；移动终端所存信息的私密性及终端存储能力的提高，极大增加了移动终端安全的危害性；国际漫游业务量及业务互通的增加，使移动终端病毒在国际之间散播更为容易。另外，对于计算机，只有接入互联网才可能受到病毒攻击，并且可以通过重装操作系统方式来进行处理；而移动终端不同的是，移动终端时刻与移动网络相连，并且其操作系统不能随便重新安装。故此，一旦安全事件爆发，其危害力将远远大于电脑病毒的危害。

2 移动智能终端信息安全技术现状

信息安全目前是各界都比较关注的一个问题，移动终端作为移动业务对用户的唯一体现形式以及存储用户个人信息的载体，要配合移动网络保证移动业务的安全，实现移动网络与移动终端之间通信通道的安全可靠，同时还要保证用户个人信息的机密性、完整性。随着移动终端功能的不断强大和大面积普及，移动终端已成为人们日常生活不可或缺的用品，而这些功能强大的智能终端在带给用户便利的同时，导致的信息安全问题也日益突显。一方面，智能终端中存储的个人信息越来越多；另一方面，丰富的通信和数据交换功能为信息泄露和病毒传播提供了通道。

目前，国内通信行业标准在早些年就发布了有关于移动终端信息安全的标准，如YD/T1699-2007《移动终端信息安全技术要求》、YD/T1700-2007《移动终端信息安全测试方法》、YD/T1886-2009《移动终端芯片安全技术要求和测试方法》，但是由于这些标准制定得比较早，且当时的研究还不够深入，随着技术的不断发展，移动终端新的安全问题不断暴露，新的安全技术不断产生，因此对于移动终端的信息安全要求又更上了一个台阶。2013年发布的YD/T2407-2013《移动智能终端安全能力技术要求》和YD/T2408-2013《移动智能终端安全能力测试方法》标准进一步细化了移动智能终端在操作系统安全、应用软件安全等方面要求。2013年工业和信息化部发布了《关于加强移动智能终端进网管理的通知》，对移动智能终端安全能力和预置应用软件提出了管理要求，要求移动智能终端在进网中严格按照YD/T2407-2013《移动智能终端安全能力技术要求》和YD/T2408-2013《移动智能终端安全能力测试方法》标准中的一级安全能力要求。这使得国内移动智能终端的信息安全得到进一步的保障，移动智能终端上的个人信息安全也得到相应的保护。

在进网检测管理中，检测机构已对现有信息安全威胁进行分析，并通过专业的检测工具对移动智能终端进行操作系统安全检测，让移动智能终制造商提高终端自身的防护能力，让原本没有防护能力的智能终端得到保护。通过行业标准规范应用程序在供用户使用时应该让用户可知、可控，从而减少恶意软件引起的安全泄漏。

但是，目前仍有部分用户的信息安全意识不强、自我管理水平不足，导致部分用户移动智能终端上的个人信息仍处于暴露状态。2014年8月一款名为“XX神器”的恶意应用程序过短信传播，下载后立刻遍历通讯录，给所有通讯录中的朋友发送该病毒，数日之间感染了全国数百万智能终端。虽然该作者的动机并非要借此牟利，但造成的社会危害非常严重，这正是因为用户的信息安全意思不强，随意下载不明的应用程序导致的。

3 移动智能终端的个人信息安全策略

3.1 Android安全策略

根据IDC调查报告数据显示，Android占全球智能手机的份额在不断上升。Android设备占据的全球智能手机市场份额从2012年的69%上升到2013年的78.6%，Android成为目前最主流的手机平台。因为Android平台的开放特性，吸引了众多终端厂商和软件应用商加入到Android平台中来，也因为开放特性和众多的Android终端用户数量让许多的黑客和灰色产业链瞄准了Android平台。通过网络安全企业通报的2012年移动互联网恶意程序样本有162981个，较2011年增长25倍，其中约有82.5%的样本针对Android平台。Android平台已成为恶意程序的重灾区。

Android系统是基于Linux内核开发的，因此Android系统保留和继承了Linux操作系统的安全机制，并扩展了Linux内核安全模型的用户与权限机制，将多用户操作系统的用户隔离机制巧妙地移植为应用程序隔离。在Linux中，一个用户标识（UID）识别一个给定用户；在Android上，一个UID只识别一个应用程序。Android应用程序在安装的过程中，安装服务PackageManagerService会为它们分配一个唯一的UID和GID，以及根据应用程序所申请的权限，赋予其他的GID。有了这些UID和GID之后，应用程序就只能限访问特定的文件，一般就是只能访问自己创建的文件。此外，Android应用程序在调用设备的敏感API时，系统检查它在安装的时候会没有申请相应的权限，如果没有申请相关权限，那么访问也会被拒绝。Android提供了一百多种权限，这些权限包括拨打电话、照相、键盘输入、发送短信、读取通讯录等。应用程序如果需要用相关的权限时，需要在AndroidManifest. xml文件中声明，并且在应用程序安装时呈现出该应用程序会使用到的权限，并由用户决定是否安装此应用程序，用户只有选择接受应用程序所需的权限才能安装使用，否则只能放弃安装。而且，权限在安装时一经确认就不能再更改，一旦允许安装，该应用程序就拥有了它所声明的操作权限。

Android应用程序可以通过各种方式进行下载安装，如通过本地安装、蓝牙传输方式、网络下载方式等。而第三方应用程序的下载源非常多，如论坛、谷歌商店、其他第三方商店、特定网站等，且各企业对应用程序的审核机制不一，导致应用软件存在较大的信息安全隐患。

3.2 iOS安全策略

以iPhone为代表的iOS平台智能终端在2007年开启了智能终端的新时代，iOS给用户带来了更直接的体验，使其能更方便地使用移动互联网应用，这让iOS设备受到全球用户的喜爱。虽然近些年iOS平台在智能终端的市场份额不断缩减，这主要是因为Android平台终端的数量递增速度更快，且iOS平台只有苹果公司使用，产品类型及型号的更新比不上众多的Android平台终端，但iOS设备的出货量还是在不断递增的。

基于Darwin的iOS是一个相对封闭和安全的系统，运行在iOS上的应用程序遵循“沙箱”安全原则，每个应用程序不能访问其他应用程序的内存和文件，且每个应用都有自己唯一的目录。另外，系统文件、资源以及内核都与用户应用程序相隔离，应用程序的用户的身份都是Mobile，如果需要访问其他程序的数据，则必须通过iOS提供的API进行访问。iOS把所有敏感的API都进行了封装，以确保应用程序在调用敏感API时能让用户知道，通过开关、跳转界面、弹窗等方式让用户确认。iOS的沙箱机制有效地防范了传统的手机病毒、恶意软件。但是，iOS系统仍存在漏洞，不少黑客对iOS的漏洞进行攻击，导致用户的个人信息可在不知情的情况下被盗窃，甚至可利用漏洞绕过密码保护，访问终端内的数据。就在前不久，知名iOS黑客乔纳森·扎德尔斯基（JonathanZdziarski）在iOS中发现了多个未经披露的“后门”服务，通过这些后门，黑客组织便可以绕过iOS的加密功能，窃取用户的敏感个人信息。举例来说，一款通过libpcap网络数据包捕获函数包捕获流入和流出iOS设备的HTTP数据名为com. apple.pcapd的服务，该服务在所有iOS设备上都是默认激活的，能被用来在用户不知情的情况下，通过WLAN网络监测用户的信息。

以排除iOS设备“越狱”的情况来看，iOS的第三方应用程序只能通过苹果的软件商店进行下载安装，且这些应用软件要在苹果商店进行上架是需要通过苹果公司的审核后才能允许该应用程序呈现给用户，iOS相对Android的应用程序市场是有相应的机制进行保护的。

3.3 Windows Phone安全策略

WindowsPhone是微软在2008年针对移动智能终端推出的新的智能终端操作系统，但WindowsPhone经过短暂的辉煌后迅速被iOS和Android打压。在2012年微软推全新操作系统内核的WindowsPhone8后，WindowsPhone终端逐步增多，2014年7月的网络浏览数据表明Windows Phone市场份额有所上升，WindowsPhone7.5与WindowsPhone8.1总共占据了整个市场的2.48%，而这个数字在一年以前还是1.14%。因此，大致可以认为WindowsPhone的市场份额在一年内增长了一倍左右，且支持WindowsPhone的应用已超20万个，WindowsPhone终端市场在不断地扩大。

与iOS平台类似，WindowsPhone的应用程序也运行在“沙箱”中，每个程序只能访问自己受保护的独立存储区域，各个程序之间相互独立，以严格的结构化方式与手机功能交互。微软推出WindowsPhone8.1后新增了一个“应用园地”选项，通过应用园地，可以指定哪些应用在专门的沙箱模式下显示，这一模式能够限制所使用的应用。这一功能适用于企业，在不需要完整的移动设备管理（MDM）解决方案的情况下，允许员工使用特定的应用。WindowsPhone8.1安全设计理念包括高度安全的身份认证功能（如支持虚拟智能卡和PIN码的MFA认证技术）、深度防护的多层级多方面的结构化安全认证访问需求。WindowsPhone8.1和桌面系统（Windows 8.1和WindowsServer 2012 R2）共享很多底层组件，尤其是那些和安全相关的部份，这样就能保证了WindowsPhone8.1系统能在部署企业环境时保持可预测、可靠性和共通性。

与iOS平台类似，WindowsPhone的应用也只能在微软的应用商店下载安装，而微软对第三方应用程序有相关的审核机制，如需要开发者发布应用前须先执行认证过程，以验证其是否满足微软提出的所有策略和要求，只有符合要求后才能发布。

4 个人信息安全关键技术分析

随着技术的不断发展，移动终端集成了越来越多的新业务，部分新业务对信息安全有特殊的要求，部分新业务可能为用户带来新的安全隐患。如集成定位业务的移动终端可随时获得自身的位置信息，而位置信息是个人用户的私密信息；如集成生物识别技术的移动终端可以对用户的个人信息记性保护，但是生物识别信息同样会缓存在终端设备上，因此具备定位业务的移动终端对信息安全性有特殊的要求。

个人信息包括了用户的通讯录、通话记录、短/彩信、位置信息、生物识别信息、设备缓存信息（键盘输入数据、应用软件缓存信息等）、本地文件（图片、音频、视频、文档）、终端信息（型号、IMEI、本机号码、安装的APP信息）等。目前的YD/T2407-2013《移动智能终端安全能力技术要求》和YD/T2408-2013《移动智能终端安全能力测试方法》标准中只是针对大部分的个人信息安全技术提出了要求，但仍有部分个人信息安全技术未提出要求。如目前已发现部分的应用软件存在搜集本机号码的行为，用户使用该应用程序后经常接到不同的骚扰电话，而电话内容就是与该应用程序相关的业务，这是因为该应用程序获取本机号码后将该号码进行贩卖给其业务相关的渠道；如iOS的用户在使用键盘输入英文字符和数字字符时，系统键盘会自动启动系统输入法自动更正提示，然后用户的输入记录会被缓存下来。导出该缓存文件可以发现所有的输入记录都是明文存储的，因为系统不会把所有的用户输入记录都当作密码等敏感信息来处理，这样可以通过该记录猜出用户常常输入字符中的用户名和密码。

任何一款软件系统都不是绝对安全的，应根据不同风险做好相关防范的工作，关于个人信息安全技术可从以下几方面来实施：

（1）控制应用程序权限。在应用程序安装阶段，确认该应用程序仅使用必需的最小权限，也就是遵循最小权限原则，则受到恶意软件攻击的可能性必将大大降低。对于有经验的用户这也许是一种选择，但对于广大的普通用户，不一定懂得如何验证应用程序要求的权限是否合理，在多数情况下用户会直接授予所要求的权限。因此，需要开发者在申请或设定权限时，严格遵循最小权限原则。

（2）应用程序认证。认证是防范恶意程序最有效的手段之一。应用程序经过完整的测试以及相关的代码审查，确认其权限使用的合理性后即可得到权威机构的认证，这对恶意程序起到了有力的防范作用。

（3）保证私有数据的可用性、隐密性、完好性。用户在使用私有数据时，应提供登录用户口令解锁移动智能终端的某些功能，以防止安全威胁；提供防火墙功能，保障用户私有数据不会通过网络连接被泄露。

（4）提供数据加密功能。数据加密是保护隐私数据的最佳手段，由于只有信息所有者才有密钥，因此即使隐私数据失窃，个人信息的安全仍然得到保障。

5 个人信息安全技术的策略建议

5.1 进一步提高移动智能终端操作系统的安全能力

目前，根据进网的要求智能终端都有了一定的操作系统安全能力，但对于个人信息安全方面还不够细化和全面，应考虑在操作系统层面提出相应的个人信息安全增强方法，如要求操作系统增加对个人信息敏感API的访问策略。目前的移动终端信息安全标准针对个人信息安全的方面还不够全面，应考虑新增个人信息安全技术相关的标准，并考虑从终端设备进网管理的要求进行监管智能终端上的个人信息安全能力，保证移动智能终端上的个人信息得到有效保护。

5.2 实行应用程序商店的监管机制

根据不准确的数字，目前国内的Android应用程序商店已经有几十家，其中包括手机厂商、Android社区、Android终端管理软件、Rom开发者，他们都推出自己的应用商店。在众多第三方应用程序商店内，应用商店的审核机制尚不完善或应用程序审核制度都存在或大或小的漏洞，这些机制的不完善和漏洞给恶意应用软件提供了传播的温床。应用程序商店作为一个应用程序传播的主要载体，建议应对应用程序商店进行监管，制定行业内的移动应用商店检测要求，并对应用程序商店的相关审核机制进行检测。并进行联动管理，对于已发现的恶意软件进行统一下架。

5.3 建立完善的应用程序签名认证机制

Andorid、iOS、WindowsPhone平台的应用程序都有签名认证机制，但是Android平台不支持权威认证机构的认证，因此不会对应用程序证书的有效性进行验证，开发者可以使用任何证书对应用程序进行签名认证，这样用户在安装时无法得知该应用程序是否来自官方，当应用程序出现恶意行为时无法追溯到应用程序开发商甚至开发者。所以，应建立完善应用程序认证机制，并通过技术手段让Android平台的应用程序支持权威认证机构的认证，对应用软件信息内容、漏洞、恶意代码和应用开发者资质等进行严格的评估。检测机构依据相关技术标准对应用软件进行检测、审核，并将通过审核的软件进行数字签名，放到可信网站上，以供终端用户查询使用。用户可通过官方提供的在线工具，开展数字签名校验，鉴定所下载的软件是否为可信软件，从而给予用户鉴别软件可信度的能力。

5.4 进一步提高用户的自我管理水平

应继续加强用户信息安全意识的宣传，普及智能终端的信息安全常识，如避免安装来源不明的软件、只到正规的应用程序商店下载安装、只安装通过认证的应用程序、避免连接不明的网络以及不明的终端设备、只连接可信的主机或其他终端设备、设置用户口令、加密隐私数据、安装防病毒软件等，从而实现智能终端的个人信息安全。

1 宁华,李巍,汪坤,雷鸣宇.智能终端安全体系研究.现代电信科技.2012,5

2 陈平辉.智能手机终端安全机制的研究与实践.北京邮电大学.2010

2014-09-30）