彭春暉 中國信息通信研究院南方分院新業(yè)務部副主任，助理工程師

林巧珊 中國信息通信研究院南方分院助理工程師

移動智能終端的個人信息安全技術分析

彭春暉 中國信息通信研究院南方分院新業(yè)務部副主任，助理工程師

林巧珊 中國信息通信研究院南方分院助理工程師

從目前移動智能終端的個人信息安全技術狀況以及主流操作系統(tǒng)的安全策略出發(fā)，分析了移動智能終端個人信息安全所面臨的安全威脅，并從技術層面和管理層面給出了相應的防護策略和建議。

移動智能終端 安全機制 個人信息安全 應用程序

1 引言

移動互聯(lián)網的飛速發(fā)展推動了移動智能終端的快速普及。與傳統(tǒng)終端相比，移動智能終端應用了移動通信技術、計算機技術和多媒體技術的最新成果，給人們帶來了前所未有的豐富體驗。移動互聯(lián)網的迅猛發(fā)展推動了移動智能終端數(shù)量的急劇增加、應用功能的日益增多。伴隨著終端智能化及網絡寬帶化的趨勢，移動互聯(lián)網業(yè)務層出不窮、日益繁榮。但作為業(yè)務載體的智能終端卻面臨各種安全威脅，如惡意訂購、盜取賬戶、監(jiān)聽通話等。與此同時，智能終端越來越多地涉及商業(yè)機密和個人隱私等敏感信息，智能終端作為移動互聯(lián)網業(yè)務最主要的載體，面臨著嚴峻的安全挑戰(zhàn)。

隨著移動終端操作系統(tǒng)的功能日益多樣，其漏洞隨之增加并導致安全事件種類增多；特別是移動智能終端操作系統(tǒng)開放性提高，使移動智能終端病毒開發(fā)更為容易；帶寬增加，使更加復雜多樣的病毒通過各種數(shù)據(jù)業(yè)務進行傳播成為可能；多樣的外部接口增加了病毒傳播的渠道；移動終端使用量提高和數(shù)據(jù)業(yè)務日益多樣和應用的發(fā)展，促使手機安全事件大規(guī)模滋生；移動終端所存信息的私密性及終端存儲能力的提高，極大增加了移動終端安全的危害性；國際漫游業(yè)務量及業(yè)務互通的增加，使移動終端病毒在國際之間散播更為容易。另外，對于計算機，只有接入互聯(lián)網才可能受到病毒攻擊，并且可以通過重裝操作系統(tǒng)方式來進行處理；而移動終端不同的是，移動終端時刻與移動網絡相連，并且其操作系統(tǒng)不能隨便重新安裝。故此，一旦安全事件爆發(fā)，其危害力將遠遠大于電腦病毒的危害。

2 移動智能終端信息安全技術現(xiàn)狀

信息安全目前是各界都比較關注的一個問題，移動終端作為移動業(yè)務對用戶的唯一體現(xiàn)形式以及存儲用戶個人信息的載體，要配合移動網絡保證移動業(yè)務的安全，實現(xiàn)移動網絡與移動終端之間通信通道的安全可靠，同時還要保證用戶個人信息的機密性、完整性。隨著移動終端功能的不斷強大和大面積普及，移動終端已成為人們日常生活不可或缺的用品，而這些功能強大的智能終端在帶給用戶便利的同時，導致的信息安全問題也日益突顯。一方面，智能終端中存儲的個人信息越來越多；另一方面，豐富的通信和數(shù)據(jù)交換功能為信息泄露和病毒傳播提供了通道。

目前，國內通信行業(yè)標準在早些年就發(fā)布了有關于移動終端信息安全的標準，如YD/T1699-2007《移動終端信息安全技術要求》、YD/T1700-2007《移動終端信息安全測試方法》、YD/T1886-2009《移動終端芯片安全技術要求和測試方法》，但是由于這些標準制定得比較早，且當時的研究還不夠深入，隨著技術的不斷發(fā)展，移動終端新的安全問題不斷暴露，新的安全技術不斷產生，因此對于移動終端的信息安全要求又更上了一個臺階。2013年發(fā)布的YD/T2407-2013《移動智能終端安全能力技術要求》和YD/T2408-2013《移動智能終端安全能力測試方法》標準進一步細化了移動智能終端在操作系統(tǒng)安全、應用軟件安全等方面要求。2013年工業(yè)和信息化部發(fā)布了《關于加強移動智能終端進網管理的通知》，對移動智能終端安全能力和預置應用軟件提出了管理要求，要求移動智能終端在進網中嚴格按照YD/T2407-2013《移動智能終端安全能力技術要求》和YD/T2408-2013《移動智能終端安全能力測試方法》標準中的一級安全能力要求。這使得國內移動智能終端的信息安全得到進一步的保障，移動智能終端上的個人信息安全也得到相應的保護。

在進網檢測管理中，檢測機構已對現(xiàn)有信息安全威脅進行分析，并通過專業(yè)的檢測工具對移動智能終端進行操作系統(tǒng)安全檢測，讓移動智能終制造商提高終端自身的防護能力，讓原本沒有防護能力的智能終端得到保護。通過行業(yè)標準規(guī)范應用程序在供用戶使用時應該讓用戶可知、可控，從而減少惡意軟件引起的安全泄漏。

但是，目前仍有部分用戶的信息安全意識不強、自我管理水平不足，導致部分用戶移動智能終端上的個人信息仍處于暴露狀態(tài)。2014年8月一款名為“XX神器”的惡意應用程序過短信傳播，下載后立刻遍歷通訊錄，給所有通訊錄中的朋友發(fā)送該病毒，數(shù)日之間感染了全國數(shù)百萬智能終端。雖然該作者的動機并非要借此牟利，但造成的社會危害非常嚴重，這正是因為用戶的信息安全意思不強，隨意下載不明的應用程序導致的。

3 移動智能終端的個人信息安全策略

3.1 Android安全策略

根據(jù)IDC調查報告數(shù)據(jù)顯示，Android占全球智能手機的份額在不斷上升。Android設備占據(jù)的全球智能手機市場份額從2012年的69%上升到2013年的78.6%，Android成為目前最主流的手機平臺。因為Android平臺的開放特性，吸引了眾多終端廠商和軟件應用商加入到Android平臺中來，也因為開放特性和眾多的Android終端用戶數(shù)量讓許多的黑客和灰色產業(yè)鏈瞄準了Android平臺。通過網絡安全企業(yè)通報的2012年移動互聯(lián)網惡意程序樣本有162981個，較2011年增長25倍，其中約有82.5%的樣本針對Android平臺。Android平臺已成為惡意程序的重災區(qū)。

Android系統(tǒng)是基于Linux內核開發(fā)的，因此Android系統(tǒng)保留和繼承了Linux操作系統(tǒng)的安全機制，并擴展了Linux內核安全模型的用戶與權限機制，將多用戶操作系統(tǒng)的用戶隔離機制巧妙地移植為應用程序隔離。在Linux中，一個用戶標識（UID）識別一個給定用戶；在Android上，一個UID只識別一個應用程序。Android應用程序在安裝的過程中，安裝服務PackageManagerService會為它們分配一個唯一的UID和GID，以及根據(jù)應用程序所申請的權限，賦予其他的GID。有了這些UID和GID之后，應用程序就只能限訪問特定的文件，一般就是只能訪問自己創(chuàng)建的文件。此外，Android應用程序在調用設備的敏感API時，系統(tǒng)檢查它在安裝的時候會沒有申請相應的權限，如果沒有申請相關權限，那么訪問也會被拒絕。Android提供了一百多種權限，這些權限包括撥打電話、照相、鍵盤輸入、發(fā)送短信、讀取通訊錄等。應用程序如果需要用相關的權限時，需要在AndroidManifest. xml文件中聲明，并且在應用程序安裝時呈現(xiàn)出該應用程序會使用到的權限，并由用戶決定是否安裝此應用程序，用戶只有選擇接受應用程序所需的權限才能安裝使用，否則只能放棄安裝。而且，權限在安裝時一經確認就不能再更改，一旦允許安裝，該應用程序就擁有了它所聲明的操作權限。

Android應用程序可以通過各種方式進行下載安裝，如通過本地安裝、藍牙傳輸方式、網絡下載方式等。而第三方應用程序的下載源非常多，如論壇、谷歌商店、其他第三方商店、特定網站等，且各企業(yè)對應用程序的審核機制不一，導致應用軟件存在較大的信息安全隱患。

3.2 iOS安全策略

以iPhone為代表的iOS平臺智能終端在2007年開啟了智能終端的新時代，iOS給用戶帶來了更直接的體驗，使其能更方便地使用移動互聯(lián)網應用，這讓iOS設備受到全球用戶的喜愛。雖然近些年iOS平臺在智能終端的市場份額不斷縮減，這主要是因為Android平臺終端的數(shù)量遞增速度更快，且iOS平臺只有蘋果公司使用，產品類型及型號的更新比不上眾多的Android平臺終端，但iOS設備的出貨量還是在不斷遞增的。

基于Darwin的iOS是一個相對封閉和安全的系統(tǒng)，運行在iOS上的應用程序遵循“沙箱”安全原則，每個應用程序不能訪問其他應用程序的內存和文件，且每個應用都有自己唯一的目錄。另外，系統(tǒng)文件、資源以及內核都與用戶應用程序相隔離，應用程序的用戶的身份都是Mobile，如果需要訪問其他程序的數(shù)據(jù)，則必須通過iOS提供的API進行訪問。iOS把所有敏感的API都進行了封裝，以確保應用程序在調用敏感API時能讓用戶知道，通過開關、跳轉界面、彈窗等方式讓用戶確認。iOS的沙箱機制有效地防范了傳統(tǒng)的手機病毒、惡意軟件。但是，iOS系統(tǒng)仍存在漏洞，不少黑客對iOS的漏洞進行攻擊，導致用戶的個人信息可在不知情的情況下被盜竊，甚至可利用漏洞繞過密碼保護，訪問終端內的數(shù)據(jù)。就在前不久，知名iOS黑客喬納森·扎德爾斯基（JonathanZdziarski）在iOS中發(fā)現(xiàn)了多個未經披露的“后門”服務，通過這些后門，黑客組織便可以繞過iOS的加密功能，竊取用戶的敏感個人信息。舉例來說，一款通過libpcap網絡數(shù)據(jù)包捕獲函數(shù)包捕獲流入和流出iOS設備的HTTP數(shù)據(jù)名為com. apple.pcapd的服務，該服務在所有iOS設備上都是默認激活的，能被用來在用戶不知情的情況下，通過WLAN網絡監(jiān)測用戶的信息。

以排除iOS設備“越獄”的情況來看，iOS的第三方應用程序只能通過蘋果的軟件商店進行下載安裝，且這些應用軟件要在蘋果商店進行上架是需要通過蘋果公司的審核后才能允許該應用程序呈現(xiàn)給用戶，iOS相對Android的應用程序市場是有相應的機制進行保護的。

3.3 Windows Phone安全策略

WindowsPhone是微軟在2008年針對移動智能終端推出的新的智能終端操作系統(tǒng)，但WindowsPhone經過短暫的輝煌后迅速被iOS和Android打壓。在2012年微軟推全新操作系統(tǒng)內核的WindowsPhone8后，WindowsPhone終端逐步增多，2014年7月的網絡瀏覽數(shù)據(jù)表明Windows Phone市場份額有所上升，WindowsPhone7.5與WindowsPhone8.1總共占據(jù)了整個市場的2.48%，而這個數(shù)字在一年以前還是1.14%。因此，大致可以認為WindowsPhone的市場份額在一年內增長了一倍左右，且支持WindowsPhone的應用已超20萬個，WindowsPhone終端市場在不斷地擴大。

與iOS平臺類似，WindowsPhone的應用程序也運行在“沙箱”中，每個程序只能訪問自己受保護的獨立存儲區(qū)域，各個程序之間相互獨立，以嚴格的結構化方式與手機功能交互。微軟推出WindowsPhone8.1后新增了一個“應用園地”選項，通過應用園地，可以指定哪些應用在專門的沙箱模式下顯示，這一模式能夠限制所使用的應用。這一功能適用于企業(yè)，在不需要完整的移動設備管理（MDM）解決方案的情況下，允許員工使用特定的應用。WindowsPhone8.1安全設計理念包括高度安全的身份認證功能（如支持虛擬智能卡和PIN碼的MFA認證技術）、深度防護的多層級多方面的結構化安全認證訪問需求。WindowsPhone8.1和桌面系統(tǒng)（Windows 8.1和WindowsServer 2012 R2）共享很多底層組件，尤其是那些和安全相關的部份，這樣就能保證了WindowsPhone8.1系統(tǒng)能在部署企業(yè)環(huán)境時保持可預測、可靠性和共通性。

與iOS平臺類似，WindowsPhone的應用也只能在微軟的應用商店下載安裝，而微軟對第三方應用程序有相關的審核機制，如需要開發(fā)者發(fā)布應用前須先執(zhí)行認證過程，以驗證其是否滿足微軟提出的所有策略和要求，只有符合要求后才能發(fā)布。

4 個人信息安全關鍵技術分析

隨著技術的不斷發(fā)展，移動終端集成了越來越多的新業(yè)務，部分新業(yè)務對信息安全有特殊的要求，部分新業(yè)務可能為用戶帶來新的安全隱患。如集成定位業(yè)務的移動終端可隨時獲得自身的位置信息，而位置信息是個人用戶的私密信息；如集成生物識別技術的移動終端可以對用戶的個人信息記性保護，但是生物識別信息同樣會緩存在終端設備上，因此具備定位業(yè)務的移動終端對信息安全性有特殊的要求。

個人信息包括了用戶的通訊錄、通話記錄、短/彩信、位置信息、生物識別信息、設備緩存信息（鍵盤輸入數(shù)據(jù)、應用軟件緩存信息等）、本地文件（圖片、音頻、視頻、文檔）、終端信息（型號、IMEI、本機號碼、安裝的APP信息）等。目前的YD/T2407-2013《移動智能終端安全能力技術要求》和YD/T2408-2013《移動智能終端安全能力測試方法》標準中只是針對大部分的個人信息安全技術提出了要求，但仍有部分個人信息安全技術未提出要求。如目前已發(fā)現(xiàn)部分的應用軟件存在搜集本機號碼的行為，用戶使用該應用程序后經常接到不同的騷擾電話，而電話內容就是與該應用程序相關的業(yè)務，這是因為該應用程序獲取本機號碼后將該號碼進行販賣給其業(yè)務相關的渠道；如iOS的用戶在使用鍵盤輸入英文字符和數(shù)字字符時，系統(tǒng)鍵盤會自動啟動系統(tǒng)輸入法自動更正提示，然后用戶的輸入記錄會被緩存下來。導出該緩存文件可以發(fā)現(xiàn)所有的輸入記錄都是明文存儲的，因為系統(tǒng)不會把所有的用戶輸入記錄都當作密碼等敏感信息來處理，這樣可以通過該記錄猜出用戶常常輸入字符中的用戶名和密碼。

任何一款軟件系統(tǒng)都不是絕對安全的，應根據(jù)不同風險做好相關防范的工作，關于個人信息安全技術可從以下幾方面來實施：

（1）控制應用程序權限。在應用程序安裝階段，確認該應用程序僅使用必需的最小權限，也就是遵循最小權限原則，則受到惡意軟件攻擊的可能性必將大大降低。對于有經驗的用戶這也許是一種選擇，但對于廣大的普通用戶，不一定懂得如何驗證應用程序要求的權限是否合理，在多數(shù)情況下用戶會直接授予所要求的權限。因此，需要開發(fā)者在申請或設定權限時，嚴格遵循最小權限原則。

（2）應用程序認證。認證是防范惡意程序最有效的手段之一。應用程序經過完整的測試以及相關的代碼審查，確認其權限使用的合理性后即可得到權威機構的認證，這對惡意程序起到了有力的防范作用。

（3）保證私有數(shù)據(jù)的可用性、隱密性、完好性。用戶在使用私有數(shù)據(jù)時，應提供登錄用戶口令解鎖移動智能終端的某些功能，以防止安全威脅；提供防火墻功能，保障用戶私有數(shù)據(jù)不會通過網絡連接被泄露。

（4）提供數(shù)據(jù)加密功能。數(shù)據(jù)加密是保護隱私數(shù)據(jù)的最佳手段，由于只有信息所有者才有密鑰，因此即使隱私數(shù)據(jù)失竊，個人信息的安全仍然得到保障。

5 個人信息安全技術的策略建議

5.1 進一步提高移動智能終端操作系統(tǒng)的安全能力

目前，根據(jù)進網的要求智能終端都有了一定的操作系統(tǒng)安全能力，但對于個人信息安全方面還不夠細化和全面，應考慮在操作系統(tǒng)層面提出相應的個人信息安全增強方法，如要求操作系統(tǒng)增加對個人信息敏感API的訪問策略。目前的移動終端信息安全標準針對個人信息安全的方面還不夠全面，應考慮新增個人信息安全技術相關的標準，并考慮從終端設備進網管理的要求進行監(jiān)管智能終端上的個人信息安全能力，保證移動智能終端上的個人信息得到有效保護。

5.2 實行應用程序商店的監(jiān)管機制

根據(jù)不準確的數(shù)字，目前國內的Android應用程序商店已經有幾十家，其中包括手機廠商、Android社區(qū)、Android終端管理軟件、Rom開發(fā)者，他們都推出自己的應用商店。在眾多第三方應用程序商店內，應用商店的審核機制尚不完善或應用程序審核制度都存在或大或小的漏洞，這些機制的不完善和漏洞給惡意應用軟件提供了傳播的溫床。應用程序商店作為一個應用程序傳播的主要載體，建議應對應用程序商店進行監(jiān)管，制定行業(yè)內的移動應用商店檢測要求，并對應用程序商店的相關審核機制進行檢測。并進行聯(lián)動管理，對于已發(fā)現(xiàn)的惡意軟件進行統(tǒng)一下架。

5.3 建立完善的應用程序簽名認證機制

Andorid、iOS、WindowsPhone平臺的應用程序都有簽名認證機制，但是Android平臺不支持權威認證機構的認證，因此不會對應用程序證書的有效性進行驗證，開發(fā)者可以使用任何證書對應用程序進行簽名認證，這樣用戶在安裝時無法得知該應用程序是否來自官方，當應用程序出現(xiàn)惡意行為時無法追溯到應用程序開發(fā)商甚至開發(fā)者。所以，應建立完善應用程序認證機制，并通過技術手段讓Android平臺的應用程序支持權威認證機構的認證，對應用軟件信息內容、漏洞、惡意代碼和應用開發(fā)者資質等進行嚴格的評估。檢測機構依據(jù)相關技術標準對應用軟件進行檢測、審核，并將通過審核的軟件進行數(shù)字簽名，放到可信網站上，以供終端用戶查詢使用。用戶可通過官方提供的在線工具，開展數(shù)字簽名校驗，鑒定所下載的軟件是否為可信軟件，從而給予用戶鑒別軟件可信度的能力。

5.4 進一步提高用戶的自我管理水平

應繼續(xù)加強用戶信息安全意識的宣傳，普及智能終端的信息安全常識，如避免安裝來源不明的軟件、只到正規(guī)的應用程序商店下載安裝、只安裝通過認證的應用程序、避免連接不明的網絡以及不明的終端設備、只連接可信的主機或其他終端設備、設置用戶口令、加密隱私數(shù)據(jù)、安裝防病毒軟件等，從而實現(xiàn)智能終端的個人信息安全。

1 寧華,李巍,汪坤,雷鳴宇.智能終端安全體系研究.現(xiàn)代電信科技.2012,5

2 陳平輝.智能手機終端安全機制的研究與實踐.北京郵電大學.2010

2014-09-30）