浅析移动终端的安全风险及防护建议

刘苑明（中国移动通信集团广东有限公司中山分公司，中山 528400）



浅析移动终端的安全风险及防护建议

刘苑明
（中国移动通信集团广东有限公司中山分公司，中山 528400）

摘要随着智能终端和移动通信技术的飞速发展，购物、支付、理财产品等金融业务层出不穷，移动终端的安全性成为了安全攻击的目标也是社会热点问题。本文对移动终端进行了风险分析，辅以使用Kali Linux系统攻击同一个Wi-Fi局域网内的安卓手机作为案例加以说明，并提出了安全防护建议。

关键词智能终端；安全风险；渗透入侵；安全防护建议

1　移动终端的安全风险分析

根据i R esearch艾瑞咨询的统计数据显示，2012年中国第三方支付行业移动支付业务交易规模达1511.4亿元，同比增长89.2%。2013年第三方移动支付市场交易突破万亿，规模达12 197.4亿，同比增速707.0%。2014前两个季度的中国第三方移动支付市场交易规模已增至29 163.4亿元。由数据显示，移动第三方支付规模呈快速增长趋势。然而，人们在享受移动网络带来的巨大便利的同时，却忽略了一个严重的问题，信息安全威胁随着移动网络参与度的提升而增加。目前对用户信息安全造成的威胁主要有以下几点。

1.1移动终端操作系统安全隐患

目前的智能手机操作系统主要有Android、iOS、BlackBerryOS、WindowsMobile、Linux等。其中Android和iOS两大系统的智能手机市场占有率则逼近100%，达到了91.1%。市场占有率居前三的系统全部为外国研制，被国外所垄断，其所有公司对于用户信息安全的保护又缺乏监管。2013年6月前中情局(CIA)职员爱德华･斯诺登曝光美国国家安全局的“棱镜”项目，将包括谷歌微软在内的互联网公司推上了风口浪尖，让我们对于智能手机操作系统的安全性产生了质疑，操作系统公司是否对用户的信息进行监听，是否有以盗用客户信息安全牟利的行为发生。此外，由于除苹果以外的智能手机的操作系统是开放式的，手机的源代码是对外开放的，如开放源代码的Android操作系统，程序人员可以通过逆向工程对系统进行深度的分析，进而发现潜在的漏洞。而且Android系统采取免费、开源的市场策略，给病毒的制造者提供了方便。很多网站、论坛都有免费的源代码共享，有一定编程基础的编程学习者拿到这样的源码之后，就可以简单地制作出病毒，缺乏相应的安全保障。

1.2移动终端软件安全隐患

恶意软件是故意在计算机系统上执行恶意任务的病毒、蠕虫和特鲁伊木马的总称，在PC电脑中已经存在了很多年，也有相对比较完善的杀毒软件和漏洞扫描软件做保护。随着智能手机的巨大市场被开发，大量开发者转为开发手机APP。在巨大的利益驱使下，智能手机和APP就成了恶意软件和黑客的攻击目标。信息窃取型恶意软件会暗中窃取用户的照片、短信通信录等信息进行倒卖从而牟利；通信吸费型恶意软件会把恶意扣费代码嵌入进APP中使用户不知不觉中产生了资费，从而牟利。2015年8月14日百度手机卫士发布了《2015年上半年中国互联网移动安全报告》，报告以百度大数据为基础，针对手机病毒、盗版应用、垃圾短信、骚扰电话、移动支付、应用漏洞6大移动安全问题做了系统专业的调研和分析。报告显示，2015年上半年手机病毒出现爆发式增长，病毒软件新增数量达到127.31万个，环比增长240%。新增病毒类型以恶意扣费、隐私窃取、资费消耗、流氓行为4类为主，其中恶意扣费类病毒占比超过43.1%。由于安卓系统底层技术平台是开放的，盗版应用便如雨后春笋般的冒出，这些盗版应用会造成流量消耗、隐私泄露、恶意扣费、远程控制、购物欺诈等危害。

1.3移动终端支付安全风险

移动支付安全的风险主要来自恶意山寨应用、不明Wi-Fi网络环境、支付应用自身漏洞、验证短信不安全4大方面。

目前的移动终端支付从场景上主要有远程支付和近场支付两种，远程支付指的是消费者通过移动终端(手机、平板等设备)及移动支付设备(包括刷卡器、金融SD卡以及快捷支付如支付宝等)发起的支付，主要通过短信、WAP和手机客户端；近场支付是指消费者先将金融钱包下发到自己的移动终端上，用终端作为载体在近场支付的POS机上完成的支付。目前支付手段的安全隐患是加密问题和即时性问题。虽然WAP功能的手机支付时，能够采用移动网络的加密技术，相对而言，并不能很有效地保证安全，如果引入短信动态密码的方式，采用银行卡与手极号绑定模式，受手机卡技术的限制，所发送的信息为明码，短消息通过公网传输，没有加密功能。如果引入软件令牌形式的动态密码具有生命周期，在传输线路上存在被截获的可能。

1.4移动终端丢失安全隐患

目前，手机的普及率非常高，但是日常生活中经常出现频繁丢失的情况，为此造成的信息泄露屡见不鲜，照片、通信录、都有可能被落入他人手中，个人隐私受到了极大的威胁。随着移动终端功能的不断发展，智能手机上的电商软件越来越多，其中不少软件都提供手机绑定，记住密码，甚至有些软件和网站提供手机修改密码，这给了不法分子可乘之机，给人们的财产安全造成了极大的威胁。

1.5免费Wi-Fi热点带来的安全隐患

目前对于普通用户而言，网络信息安全还表现在公共无线网络的安全威胁。自2004年起，Wi-Fi开始广泛应用在机场、商场、酒店、学校等公共场所，这给人们上网带来了极大的便利，当人们身处这些公共场所时，打开手机自然会搜到这种免费的Wi-Fi信号。同样，在进行移动支付时，在付费的数据流量和免费又快捷的Wi-Fi之间选择，人们通常会选择后者。然而，Wi-Fi可以自设名称等特征，给黑客留下了可乘之机。而一般用户在支付过程中涉及到的支付账号和密码、购买物品的相关信息，当这些信息泄露出去，后果不堪设想。

2　案例：网络渗透入侵Wi-Fi局域网内的安卓手机

2.1入侵前准备

本次案例使用kali Linux系统里面自带的工具，入侵同一Wi-Fi局域网中的安卓手机。

第一步进入Wi-Fi网络进行目标的收集。暴力破解Wi-Fi密码只要使用fern Wi-Fi Cracker工具可以图形化界面直接破解密码进入Wi-Fi网络，如图1为软件截图。

2.2目标范围规定和信息收集

图1　fern WIFI Cracker软件样例图

进入Wi-Fi网络之后，用软件Armitage对网络进行嗅探，确定本局域网内可以到达的设备。

如图2中，可以看到局域网内可以找到4台相关设备，一台苹果手机，一台安卓手机，一台Linux电脑，一台Win7电脑。

图2　Armitage嗅探样例图

通过Armitage对每台设备进行详细的扫描，确定是否能够存在漏洞。由于实验需要，专门找了台旧的三星9100为目标，其系统为安卓手机。

2.3渗透入侵

使用Metasploit使用后门进行渗透，生成apk木马文件。开始入侵；同时将apk文件发送到目标主机安装并运行，从如图3上面的系统运行界面可以看到渗透已经成功，能够获取目标手机的操作系统信息。

图3　入侵案例图

2.4持续控制

在对手机进行渗透入侵后，可以直接查看现在能够进行的操作，从操作选项中就可以看到，入侵者能够对手机的系统、通话记录、通信录、摄像头等进行控制。

由上述案例可以非常清晰的看到免费Wi-Fi中的潜在安全风险，任何使用免费Wi-Fi的人员都应该对其安全风险有所了解。

3　智能终端使用的安全保护措施建议

作为消费者，在使用智能终端时，要有信息安全防范的意识，要注重增强安全意识，自觉防范电子商务风险。

3.1尽量选用具有自主操作系统、安全芯片等智能终端

从2013年国家提出智能终端信息安全研究开始，国家项目一直加大对国内操作系统和安全芯片的开发，截止至2015年11月华为公司和中兴公司都基于安卓底层开放了自有的操作系统，其内核已经与基本安卓系统区别较大，减少了国内智能终端对国外操作系统的依赖程度。

另外一方面，华为、中兴、联想等国内手机巨头加大了与国家合作的智能终端安全硬件芯片的研究，对于移动智能终端的软硬件技术、安全技术、系统软件和应用软件安全漏洞后门分析及处置技术等都有了长足的进步。

消费者在进行智能终端的选择时，建议尽量选用具有自主操作系统或安全芯片等技术的智能终端。

3.2下载软件要选择官方正规的渠道

智能手机的开源性较强，软件非常多，鱼龙混杂，消费者在选择软件下载时尽量要从官方渠道下载，不要从不可靠的第三方市场下载，也不要下载经过修改过的破解版的软件和游戏。目前大量的钓鱼网站、盗号木马和恶意软件都是通过二维码软件的形式进行隐藏，在上述演示实验中渗透入侵工具中就有一个简单的选项完成把木马文件内嵌到二维码中的操作，故建议不要轻易扫描二维码进行软件的下载和支付，给自己的移动终端一个良好的信息安全环境。

3.3防范软件的访问权限

现有的大量的杀毒软件或防护软件要求获得用户的ROOT权限，但作为一个普通的消费者，由于ROOT权限过大很容易导致信息安全的泄露，故安装杀毒软件首先建议不要对自己的智能终端进行ROOT、越狱等操作，从而减少安全隐患。

其次在安装软件的时候对于那些需要访问通信录、照片、文档权限的软件，要有警惕意识，了解相关信息，减少隐患。目前市场上针对智能手机的杀毒安全软件日渐成熟，安装一款杀毒软件能让智能手机中的病毒和恶意软件无处藏身。

3.4养成良好的支付习惯

移动支付手段目前主要有远程支付和近场支付两种，养成良好的支付习惯，是个人信息安全的保障。首先用户在支付时尽量不要用商家提供的公共Wi-Fi，尽量使用已加密、比较安全的手机网络进行支付交易；其次，在远程支付时，要核对商家信息，明确付款金额和条款，防止被诈骗。二维码应用越来越广泛，多数二维码扫码工具并不具有识别恶意网址的能力，只是简单将二维码翻译成网站地址，因此，在支付时加强对手机的管理，以免出现多付，重付的情况。

3.5时常备份手机资料

手机一旦丢失，手机里面的资料也会一起丢失，并有泄露的危险，目前云端技术发展日渐成熟，将手机里的信息备份到云端，能够让用户在手机丢失后通过互联网访问云端，实现信息的找回。同时开启手机的定位功能，通过手机的定位将手机找回，防止信息的进一步泄露。

4　总结展望

随着移动智能终端技术的不断发展，所应用的领域也逐渐渗透到生活的方方面面。移动智能终端的安全管理将成为未来十年的信息安全发展的主要热点。本文使用简单易懂的网络渗透工具进行测试实验，从而显示移动智能终端的使用安全风险，并针对该安全风险提出加强使用安全防范意识等安全建议。另外网络运营商的安全技术升级和政府统一完善法律法规的建设也是未来保证移动终端安全使用的基础，共同组成未来移动智能终端安全管理的三大方向。

参考文献

[1]百度手机卫士.2015年上半年中国互联网移动安全报告[R].百度手机卫士.2015-08-14.

[2]王菲飞.浅析智能手机恶意代码的检测与防护技术[J].保密科学技术, 2012(04).

[3]刘彬彬, 李永忠, 舒俊.Android平台下的病毒原理分析及其防御技术研究[J].电子设计工程, 2013(04).

[4]罗骁茜, 郑浩彬.基于网络数据的手机病毒主动监测系统及应用[J].电信工程技术与标准化, 2014(06).

Risk assessment and safety protection of smart mobilephone

LIU Yuan-ming
(China Mobile Group Guangdong Co., Ltd.Zhongshan Branch, Zhongshan 528400, China)

AbstractWith the development of mobile terminal technology and mobile communication technology, smart mobilephones are using in more and more aspect, including shopping, payment, fi nancial products and other fi nancial services, the security of smart mobilephoneshas become the focus of social security.In this paper, the risk assessment of smart mobilephones is carried out by using Linux Kali system for an example and put forward the suggestion of safty protection for smart mobilephones.

Keywordssmart mobilephone; security risk; infi ltration; safety protection suggestion

收稿日期：2015-12-08

中图分类号TN929.5

文献标识码A

文章编号1008-5599（2016）03-0063-04