摘 要:随着我国移动互联网、物联网基础设施建设的不断升级、网络能力的快速增长、流量资费的大幅下降及移动支付的普遍应用,APP应用程序越来越丰富。与此同时,移动互联网IT环境下的网络与信息安全威胁日趋严峻,风险威胁入口由传统的后台系统和设备前置到智能终端及应用层面。文章通过对基础电信运营商的APP生产、发布、运营、下线等关键节点的安全技术分析,研究APP安全管模式和关键技术应用。
关键词:APP安全;安全检测;安全加固;安全管理;移动互联网
中图分类号:TP274+.2 文献标识码:B
Research and Application of APP security management technology in mobile internet IT environment
Wang Fei
(China Mobile Communications Group Shanxi Co., Ltd., ShanxiTaiyuan 030032)
Abstract: With the continuous upgrading of China's mobile Internet and Internet of Things infrastructure, the rapid growth of network capabilities, the sharp drop in traffic charges and the widespread application of mobile payment, APP applications are becoming more and more abundant. At the same time, the threat of network and information security in the IT environment of mobile Internet is becoming more and more serious. The risk threat entry is from the traditional backstage system and equipment to the intelligent terminal and application level. Based on the analysis of the security technology of APP production, release, operation, offline and other key nodes of basic telecom operators, this paper studies the security management mode and key technology application of APP.
Key words: APP security; security detection; security reinforcement; security management; mobile internet
1 引言
移动互联网、互联网的快速发展和APP的广泛应用,为经济社会发展和人民生活带来极大的便利,据《第43次中国互联网络状况发展统计报告》(2019年2月)显示,我国手机网民达8.17亿,网民使用手机上网比例达98.6%,我国市场上监测到的APP在架数量为415万款,呈持续增长趋势。未来几年,伴随5G的全面商用和物联网、工业互联网的广泛应用,APP数量将呈现持续增长趋势。
新技术新应用产生新的安全风险。APP快速发展的同时,恶意程序也大量出现,尤其伴随移动支付的普遍应用,各类趋利攻击事件不断发生,严重危害信息安全和移动互联网健康发展。据《2018年我国互联网网络安全态势报告》显示,2017年,国家互联网应急中心自主捕获和厂商交换获得移动互联网恶意程序数量283万余个,同比增长11.7%,恶意行为主要为流氓行为类、资费消耗类和信息窃取类等。据《第43次中国互联网络状况发展统计报告》显示,2018年我国网民在上网过程中遇到的网络安全问题达50.8%,主要体现在网络欺诈、个人信息泄露、账号密码被盗、设备染毒或中木马等。腾讯社会研究中心和DCCI互联网数据中心于2019年1月发布的《2018年度网络隐私和网络欺诈行为研究分析报告》也指出,安卓系统的APP更容易通过手机权限获得用户手机号、通讯录、通话记录、短信记录等隐私信息。不法分子恶意获取手机权限后,轻则用户隐私被泄露、资费被消耗,重则导致进一步的违法犯罪行为,比如敲诈勒索。针对安卓系统APP获取隐私权限情况,报告显示,所有的安卓端手机APP都会获取手机隐私权限;安卓端仍有半数APP申请读取联系人权限;九成左右APP试图读取读写存储设备和获取应用列表权限;投资理财类APP是获取手机隐私权限最多的APP。在此严峻形势下,2019年1月中央网信办、工业和信息化部、公安部、市场监管总局四部委联合开展APP违法违规收集使用个人信息专项治理活动,对APP安全治理提出更高要求和目标。
2 APP安全需求分析
2.1 APP安全威胁分析
有别于传统应用系统的网络安全威胁模型,移动互联网的IT环境下,APP应用安全威胁面临新的场景和挑战。APP应用成为越来越多业务的主要入口通道之一,由于用户分布广、終端环境不可控、安全边界模糊等因素导致APP应用被攻击和利用安全事件频发,对终端用户和业务运营者的安全及经济利益造成极大威胁和侵害。在移动互联网环境下,攻击者可通过智能终端上的APP为入口,突破整个业务和网络安全防线,攻击目标应用的后台设备及系统,APP成为网络业务链上的安全短板之一。攻击手段包括逆向获取应用源码、利用终端或应用组件漏洞攻击、恶意篡改、交易劫持、身份欺骗、山寨仿冒、业务缺陷攻击等。另外,由于APP生产企业的安全意识和防护水平良莠不齐、企业在生产过程中重业务轻安全等现象,导致APP市场普遍存在“生产环节带病上线、发布环节易遭篡改、使用环节易遭攻击”的三重安全风险。
2.2 APP安全需求分析
鉴于当前移动互联网快速发展及面临的严峻安全形势,APP应用安全管理及防护需求日趋强烈,主要的安全需求动力概括有三个方面。
(1)国家及相关部委安全监管要求
近年来,我国提出国家网络空间安全战略,对网络信息安全治理提出更高要求和目标。《中华人民共和国网络安全法》明确了企业、运营商在提供移动互联网服务过程中的安全责任和义务及公民的网络安全权益;《移动智能终端应用软件预置和分发管理暂行规定》要求“生产企业和互联网信息服务提供者应依法依规提供移动智能终端应用软件,采取有效措施,维护网络安全,切实保护用户合法权益”;关于APP安全管理和防护,工信部、网信办等国家部委监管部门先后下发了《关于开展APP违法违规收集使用个人信息专项治理的公告》《APP违法违规收集使用个人信息自评估指南》等相关安全管理要求和技术规范,因此APP安全具有自上而下的监管需求。
(2)运营及开发者保护经营利益需求
APP已成为越来越多业务的主要入口和承载主体,一旦遭受攻击入侵可能发生核心业务中断、交易数据被劫持、用户信息泄露等严重风险,将对经营者造成巨大经济损失和利益侵害,甚至产生严重的社会负面影响。因此, APP开发者、移动互联网业务运营企业为保障自有业务和企业经营利益安全、维护企业口碑形象、承担社会安全责任等,对APP安全需求日趋强烈,安全投入逐年增加,从而形成APP安全需求的内在驱动力。
(3)普通用户安全权益诉求
普通用户是组成我国移动互联网网民大军的基础,作为智能终端的直接拥有者和APP业务受众者,希望个人隐私、数字财产、敏感信息等合法的网络信息安全权益得到切实有效地保障,畅享绿色网络环境。近年来,用户在使用APP过程中遭遇各种隐私信息泄露、网络欺诈、银行卡盗刷的安全事件不断发生,直接威胁个人财产安全、生命健康。在媒体报道、各类公益宣传的影响下,普通用户的信息安全防范意识日渐提高,对APP的使用需求已不单是停留在功能和业务层面,APP是否安全正成为越来越多用户的考量因素之一。
3 移动互联网IT环境下APP安全管理关键技术研究及应用
从安全管理视角分析,将APP全生命周期划分为:上线前、上线中、上线后三个关键阶段,通过建立分级分域的安全管理体系,采用上线前安全检测、上线中安全加固、上线后安全监测、认证的管控策略和技术手段,建立闭环的安全管理模式保障APP及其承载业务安全。
3.1基于分级分域管理思想,构建APP闭环安全管理体系
在移动互联网IT环境下,APP作为业务承载和用户操作主要入口,其运行环境依赖用户智能终端和上网环境,因此在网络域划分时应从APP应用场景和业务网络环境链综合考虑。本文采用“基于用户角色和网络承载边界”的方法划分安全域,即首先确定用户和业务承载角色,其次划分网络边界,然后划分好的安全域下设计安全策略,最后分析APP业务重要度等级确定安全策略指标集合。根据APP业务和网络环境的通用特点,可划分为“三域二边界”,即用户域、接入域、业务域;二边界为:用户域和接入域之间的外部网络接入边界,接入域和业务域之间的业务网络接入边界。
APP应用系统定级方法可参考等保的定级方案,从应用系统承载业务受到攻击破坏后对国家、社会、公民、法人和其他组织等产生的权益损害和社会影响度等划分五个等级。在形成分级分域后,对安全域设定安全策略框架,包括物理安全、网络安全、业务安全、数据安全、边界安全、通讯安全等,根据对APP应用系统的重要程度定级,设置安全策略指标集合,构建APP闭环安全管理体系。
3.2 创新多维多态智能检测技术解决“带病上线”问题
APP应用在设计开发环节可能因系统组件漏洞、开发人员安全意识薄弱、引入第三方风险SDK等原因导致自身安全防护能力低下,存在“带病上线”等风险问题,为全面、高效地探测APP安全风险,创新提出聚合多维(代码维、行为维、数据维),多态(静态、动态),跨平台(安卓、iOS、Windows)的深度安全检测模型技术,其中包括三个方面:(1)APP静态代码检测,通过指纹、特征码比对分析应用程序或组件是否存在病毒木马,通过解包、逆向、智能关联分析等技术,检测APP源码安全性,确保其可抵抗静态逆向、动态注入、山寨篡改等攻击风险;(2)APP动态行为监测,基于隔离环境的安全沙箱技术,实现对APP运行过程的动态监控分析,包括网络行为、文件操作、数据读写、动态加载、敏感API调用等,筛查不合规的越权操作、反常执行序列等;(3)APP数据流分析,基于人工智能算法和关联分析技术,确保敏感数据存取、交换的保密性和完整性。通过多维综合分析和模式识别,结合安全沙箱动态监控技术,可有效检测出代码保护不足、公共组件漏洞、身份鉴权缺陷、应用配置风险、核心业务数据暴露等7类高危漏洞。
3.3 基于无感知黑盒加固技术提升源码安全防御能力
对于iOS应用在上线时APPstroe会采用FairPlay DRM数字版权加密保护技术,实现了应用源码的初步保护,但该技术只能防御初级逆向攻击,攻击者通常使用Cycript开源工具的dumpdecrypted将加密壳脱出,再通过Hopper反汇编解密后程序文件,解析应用函数、代码块生成CFG控制流图,從而暴露关键代码和业务逻辑。为阻止对应用程序的篡改攻击,提升应用的源码安全防御能力,本文提出混合加密防护技术,包括几个方面内容:(1)字符串加密:动态加密加密源代码中的C/C++/OC/Swift字符?,防止攻击者通过字符?猜测代码逻辑;(2)逻辑混淆:将原始代码的控制流进?切分、打乱、隐藏,插入花指令、将代码逻辑复杂化??影响原始逻辑;(3)代码虚拟化:将原始代码编译为动态的DX-VM虚拟机指令,运?在DX虚拟机之上,无法被反编译回可读的源代码。通过混合加密的黑盒加固技术实现IPA的原生文件的安全保护,可有效防护应用程序被逆向、动态调试等风险。
相对iOS应用的封闭性和采用的防护措施,Android应用的APK程序本质上是压缩文件,由于其系统开放性和开发语言大众化等特点,在实际生产中经常发生发布被篡改的攻击风险。目前,对Android应用程序的加固有多种方式,一般有动态加载、不落地加载两种方案,从技术原理上分析,这两种方案都存在天生缺陷,不能从根本上防御内存Dump和避免程序假死等问题。本文采用一种开发零感知的指令替换加固技术,也称为虚拟机(VMP)保护加固,是指通过构建私有解释器,定义特有指令并建立和Android系统的虚拟机指令集关联关系,在内存运行指令时由私有指令执行,通过解析模块翻译成系统指令,这样可防护内存记录、Dumcp等方式获取APP源码、内存等攻击,解决“使用时易遭攻击”问题。
3.4 大数据和智能算监测“发布易遭篡改”风险
APP发布在应用商城发布后可能遭遇篡改、二次打包、山寨仿冒等风险,传统模式基于已知山寨样本特征码比对的方式存在较大的漏报率,且特征库更新滞后。本文基于分布式數据采集技术,建立“大数据+智能分析算法”的监测模型,包括三个方面。(1)分布式数据采集过滤:对APP应用商城、发布渠道、论坛等进行监测,根据分词技术采集关键信息并提取APP下载链接;(2)APP特征提取:通过解包、逆向等技术手段,从疑似篡改APP中提取名称、包名、证书、资源文件、配置文件、代码函数特征库等信息;(3)智能算法分析:根据设置的篡改分析模型参数从名称相似度、包名相似度、配置相似度、代码相似度、资源文件相似度等特征进行综合分析,发现疑似篡改风险。
3.5 基于PKI的CA技术解决可信溯源问题
使用PKI技术的CA证书标识APP开发运营者可信身份,在应用遭到篡改攻击后可通过签名信息验证是否为原厂的官方APP。此外,引入CA中心与业务后台和终端打通可信身份验证通道,用户在发起登录、交易等关键操作时,在请求消息中携带CA中心颁发的数字证书私钥加密特征信息,经过CA中心验证身份后转发业务后台,可防范非法请求、身份冒用等攻击风险;检测机构可通过在APP的“.RSA”文件中递归附加PKCS#7签名信息实现副署签名,通过副署签名技术可标识APP的身份的多重有效性,同时解决事后审计追责等问题。
4 结束语
移动互联网、物联网及工业互联网的快速发展和商用成熟,使得APP的应用场景日益丰富、业务结构日趋复杂,由此给网络信息安全治理带来新的威胁和挑战。新技术和新业务的发展对安全管理和技术提出更高要求,本文所研究分析的仅是移动互联网环境下APP安全管理、安全检测、安全加固、安全监测及身份认证的技术和治理实践,当下仍有更多领域待深入研究。总之,通过安全管理建立科学的闭环管控体系,从被动应急到主动响应,通过技术手段实现从安全开发到安全运营的全流程支撑,无论是运营商、企业、开发者,还是个人用户都应提高安全防护意识,共同携手构建清朗网络空间。
参考文献
[1] 车力军,黄炎生,徐丽,基于智能双驱检测技术的APP一站式安全监测探索与实践[J].电信技术,2019(04).
[2] 常玲,赵蓓,薛姗,马力鹏.移动应用安全防护技术研究[J].电信工程技术与标准化,2016(09).
[3] 徐小天,王刚,陈威,陈乐然.移动平台应用安全风险与防护方法研究[J].华北电力技术,2016(10).
[4] 邹煜.企业级移动应用平台建设与安全保障体系探析[J].网络空间安全,2016(06).
[5] 张滨,袁捷,等.移动终端安全关键技术与应用分析[M].北京:人民邮电出版社,2015.
[6] 刘培庆.IOS应用逆向与安全[M].北京:电子工业出版社,2018.
[7] 李兴新,侯玉华,等.移动互联网时代的智能终端安全[M].北京:人民邮电出版社,2016.
作者简介:
王飞(1983-),男,汉族,山西运城人,兰州交通大学,硕士,中国移动通信集团山西有限公司,工程师;主要研究方向和关注领域:网络安全、信息安全及数据安全。