劉 暢

（廣東廣播電視大學，廣東 廣州 510091）

1.引言

隨著3G網(wǎng)絡(luò)的普及，手機已逐漸從一個簡單的通訊工具轉(zhuǎn)變?yōu)槿藗內(nèi)粘Ｉ畹牡昧χ?，越來越多的人開始青睞擁有獨立操作系統(tǒng)的智能手機。智能手機銷量呈現(xiàn)的爆炸性增長便說明了這點。截至2012年二季度，中國智能手機用戶數(shù)已達到 2.9億戶。另一方面，互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2011年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢報告》顯示，2011年共捕獲移動互聯(lián)網(wǎng)惡意程序6249個，較上年增加兩倍。顯然，手機用戶在體驗新興科技的同時，也不可避免地面對來自手機病毒的威脅。

2.手機病毒的產(chǎn)生條件與特征

智能手機硬件主要由 CPU、存儲器、輸入輸出設(shè)備等構(gòu)成，為應(yīng)對高要求的應(yīng)用程序，現(xiàn)在的機型還帶有藍牙、攝像頭、WiFi等功能模塊，采用雙CPU（雙核）架構(gòu)。雙CPU結(jié)構(gòu)采取通信和應(yīng)用分離的處理方式：一個CPU（通信處理器）負責處理通信；另一個CPU（應(yīng)用程序處理器）負責處理商務(wù)、娛樂等其他應(yīng)用。智能手機的硬件體系結(jié)構(gòu)如下圖1。

圖1 智能手機的硬件體系結(jié)構(gòu)

從上圖可以看出，智能手機具有馮·諾依曼計算機結(jié)構(gòu)體系。計算機病毒研究先驅(qū)科恩證明了在具有馮·諾依曼結(jié)構(gòu)的機器中，病毒將長期且不可避免地存在，[1]因此，如同計算機一樣，智能手機也具有存在病毒的可能性。

2004年6 月，一個名為“SYMBOS_CABIR.A”的蠕蟲病毒開始在智能手機中傳播。該病毒以藍牙為傳播途徑，迅速耗盡手機電池，是第一個能對手機硬件造成破壞的病毒。[2]自此，手機病毒開始呈逐年上升趨勢，其具有類似計算機病毒的以下特點：

（1）偽裝性。病毒通常偽裝成正常程序，使用戶認為其安全而放松警惕。

（2）寄生潛伏性。很多病毒進入手機后不會立即發(fā)作，而是通過觸發(fā)機制檢查預(yù)定條件是否滿足。若條件滿足，便啟動破壞程序危害手機，否則繼續(xù)潛伏。

（3）破壞性。病毒能對手機系統(tǒng)進行干擾，妨礙手機的正常使用。許多病毒能盜取用戶信息、降低系統(tǒng)性能、損壞手機硬件等。

（4）繁殖傳染性。病毒在運行后開始進行自我復制（繁殖），不但會影響手機的其他程序，而且通過文件傳輸?shù)韧緩竭€能感染其他手機。

3.手機病毒常見的攻擊方式和危害

病毒可以通過多種方式進行攻擊，給手機帶來巨大威脅。能夠造成的比較嚴重的危害有：

（1）竊取用戶信息。為方便使用，許多用戶將重要資料儲存在手機中，如銀行帳號信息、通訊錄等。一旦這些信息被惡意程序竊取，將帶來巨大損失。“飯店大王”唐拉德·希爾頓就曾因為手機被黑客入侵，丟失了重要客戶的信息。

（2）給用戶帶來經(jīng)濟損失。一些惡意程序安裝后在手機中種植木馬，通過定時扣費或服務(wù)訂制的方式牟取利益，使用戶遭受經(jīng)濟損失。2012年初的一款名為“美容精靈”的軟件，以“診斷皮膚狀況”功能為偽裝，在手機中植入定時扣費木馬，感染了近兩萬部手機。

（3）損害手機軟硬件。很多病毒發(fā)作后使手機系統(tǒng)無法使用，最終導致系統(tǒng)崩潰。部分病毒還會格式化手機內(nèi)存，或者使手機頻繁自動開關(guān)機，降低手機使用壽命。

4.手機病毒的Rootkit技術(shù)

現(xiàn)在主流的反病毒軟件能通過遍歷手機中的文件，實時監(jiān)測程序運行情況。一旦發(fā)現(xiàn)可疑程序，反病毒軟件會采取隔離或查殺的方式來保障手機安全。隨著反病毒軟件的發(fā)展，一般的病毒帶來的危害已大為降低。為了提高生存率，如今的病毒開始采用更先進的技術(shù)來偽裝自己，如 Rootkit技術(shù)。

Rootkit技術(shù)是最早出現(xiàn)在計算機領(lǐng)域中，使用操作系統(tǒng)最高權(quán)限來隱藏程序進程的技術(shù)，后來逐漸成為隱藏黑客入侵痕跡和偽裝惡意程序的手段。Rootkit技術(shù)需依靠操作系統(tǒng)運行，由于智能手機大都已采用獨立操作系統(tǒng)，這使Rootkit病毒有了生存的平臺和空間。

內(nèi)核級Rootkit帶來的威脅最大。比如對于Linux操作系統(tǒng)的智能手機，Rootkit可以利用LKM技術(shù)截獲部分系統(tǒng)調(diào)用，創(chuàng)建病毒運行的環(huán)境。[3]Rootkit常見的攻擊方式是監(jiān)聽目標手機通話與截獲短信和獲取用戶位置：

（1）正常情況下，當手機接收到短信后，會由 Modem等層向用戶應(yīng)用層上報短信，使用戶在上層查看短信。而Rootkit一旦被成功植入手機，它就會開始破壞短信的正常處理流程，截取上報的短信，并將其發(fā)送給攻擊者，從而泄露用戶隱私；

（2）攻擊者也可以利用Rootkit獲取用戶當前的方位。首先向已植入Rootkit的手機發(fā)送觸發(fā)短信，在短信上報到上層應(yīng)用前將其攔截，中止通告并刪除短信，隨后利用GPS查出用戶位置并通過短信回發(fā)給攻擊者。

Rootkit病毒常作為驅(qū)動程序安裝在手機系統(tǒng)的內(nèi)核中，通過修改系統(tǒng)內(nèi)核代碼來改變系統(tǒng)核心數(shù)據(jù)。而通常的反病毒工具只能運行在用戶模式下，因此運行在內(nèi)核模式下的病毒能輕松繞開反病毒工具的檢測。Rootkit技術(shù)由于其良好的隱蔽性，正成為手機病毒發(fā)展的一個重要方向。

5.主流系統(tǒng)的安全機制和隱患

（1）Android系統(tǒng)

Android操作系統(tǒng)是Google公司開發(fā)的，建立于Linux系統(tǒng)的開源系統(tǒng)，近幾年發(fā)展極為迅速。

Android系統(tǒng)是一種權(quán)限分離的操作系統(tǒng)，系統(tǒng)內(nèi)的每個應(yīng)用以唯一的身份標識（Linux用戶ID和組ID）運行在一個封閉的環(huán)境（沙箱）中，除非特別授權(quán)，否則無法影響其他應(yīng)用。應(yīng)用在安裝時必須申明其運行需獲得的權(quán)限。當某個權(quán)限與操作和系統(tǒng)資源對象綁定在一起，應(yīng)用必須獲得這個權(quán)限才能在對象上執(zhí)行操作。在應(yīng)用被執(zhí)行安裝時，其請求獲得的權(quán)限必須通過manifest文件交用戶審查，用戶同意授權(quán)后，該應(yīng)用才能完成安裝。所以，Android 系統(tǒng)實施的安全準則是應(yīng)用程序得到權(quán)限許可后，才能執(zhí)行可能會影響到系統(tǒng)其它部分的操作。[4]

Android系統(tǒng)的特色安全機制是數(shù)字證書機制。Android系統(tǒng)通過數(shù)字證書來確認不同應(yīng)用是否來自同一開發(fā)者，規(guī)定只有通過簽名認證的應(yīng)用才可被安裝。一個應(yīng)用在正式發(fā)布時必須簽名，這要利用開發(fā)者的私匙生成數(shù)字證書來實現(xiàn)。數(shù)字證書是有有效期限的，過期的證書會導致應(yīng)用無法安裝。sharedUserId 機制和權(quán)限機制都用到簽名方法來執(zhí)行signature 和signatureOrSystem 權(quán)限。[5]

不過數(shù)字證書機制無法完全限制惡意程序的開發(fā)。目前Android的應(yīng)用數(shù)量大，品種多，而用戶往往無法區(qū)分惡意程序和正常程序，在安裝時會給予程序申明的所有權(quán)限，這使安全隱患大大增加。現(xiàn)在流行的針對瀏覽器 webkit的攻擊，MITM攻擊等，都是基于應(yīng)用程序的攻擊，由于攻擊成功率高，它們正逐漸成為攻擊者頻繁利用的手段。

（2）iOS系統(tǒng)

iOS操作系統(tǒng)是蘋果公司開發(fā)的以Darwin為基礎(chǔ)的操作系統(tǒng)。相對于Android系統(tǒng)，iOS系統(tǒng)的安全性能更高。

iPhone的處理器集成有一段名為Boot Room的代碼，系統(tǒng)啟動時，Boot Room通過蘋果的Apple Root CA Public證書對 Low-Level BootLoader進行驗證，若通過驗證，Low-Level BootLoader將運行iBoot和高層次的Bootloader，如果通過，iBoot將運行系統(tǒng)。Boot Room保證了iOS設(shè)備無法運行iOS系統(tǒng)以外的其他系統(tǒng)。

iOS系統(tǒng)也采用沙箱安全機制，而且蘋果公司對運行在iPhone上的應(yīng)用進行嚴格限制。運行的應(yīng)用只能是由 App Store提供的經(jīng)過審核的，且所有第三方應(yīng)用都需要使用應(yīng)用開發(fā)者的賬號進行簽名，而該賬號都是通過蘋果官方實名審核的賬號，來源透明可靠，從源頭上保障了程序的安全性。另外，開發(fā)者在開發(fā)應(yīng)用時只能使用蘋果公司提供的SDK，與Android開源的做法不同，SDK中很多函數(shù)都經(jīng)過加密，能限制開發(fā)者開發(fā)危害手機安全的應(yīng)用，遏制了基于應(yīng)用程序的惡意攻擊行為。

不少用戶想嘗試安裝App Store以外的應(yīng)用程序，因此想方設(shè)法破解iPhone的安裝權(quán)限限制，利用iOS系統(tǒng)的漏洞實現(xiàn)“越獄”。越獄能夠給用戶帶來全新的體驗，但也存在安全隱患。比如實現(xiàn)越獄之后，用戶獲取了系統(tǒng)的 root修改權(quán)限，如果未及時更改最高權(quán)限的密碼，很可能被侵入；成功越獄的用戶能下載各種非蘋果官方的應(yīng)用，但這些應(yīng)用由于未經(jīng)審核可能暗藏木馬和病毒，使安全風險大增；為了使越獄不失效，用戶往往不選擇升級系統(tǒng)，而陳舊的系統(tǒng)可能存在漏洞，容易被攻擊。因此，雖然iOS系統(tǒng)的安全性較好，但越獄過的iOS系統(tǒng)會暴露很多安全問題。

6.結(jié)語

隨著智能手機的普及，手機病毒也在迅速發(fā)展并逐漸威脅到用戶的隱私和財產(chǎn)安全。隨著一些與用戶財產(chǎn)相關(guān)的應(yīng)用的面世（如手機支付），使得手機病毒的防范工作迫在眉睫。因此，為了降低手機病毒帶來的危害，用戶首先應(yīng)加強自我防護意識，提高對不信任軟件的警惕性，慎重安裝第三方應(yīng)用，安裝并及時更新反病毒軟件；其次，網(wǎng)絡(luò)運營商應(yīng)加強對移動網(wǎng)絡(luò)的管理，加大對傳輸內(nèi)容的審核力度，從源頭打擊病毒傳播；第三，國家需完善信息安全方面的法案，出臺相應(yīng)的保護條例來維護手機用戶的權(quán)益，防止給不法分子提供可趁之機。

[1]科恩.計算機病毒——理論和實驗[J].計算機與安全，1987，（1）.

[2]保羅森.發(fā)現(xiàn)的第一個智能手機病毒[J].IEEE，2004，（8）.

[3]陳華亭.基于LKM的Rootkit技術(shù)[J].計算機工程與科學，2004，（2）.

[4]Shin W，Kiyomoto S，F(xiàn)ukushima K，et al.A formal model to analyze the permission authorization and enforcement in the android framework.International Symposium on Secure Computing （Secure Com-10）2010：944—945.

[5]廖明華.Android 安全機制分析與解決方案初探[J].科學技術(shù)與工程，2011，（26）.