移動互聯網手機應用安全研討

黃斐一++武靜雅++孔繁盛

【摘 要】介紹了移動互聯網手機應用的安全現狀、發展趨勢以及典型的手機應用惡意行為。為降低惡意應用給用戶帶來的安全威脅，著眼整個移動互聯網手機應用行業，提出了一個手機應用安全管控體系，該體系包含了應用上線前檢測和上線后監控2個主要階段。通過手機安全管控體系可以有效管控手機惡意應用，提高用戶使用體驗。

【關鍵詞】手機應用 惡意行為 安全檢測

中圖分類號：TP393.4 文獻標識碼：A 文章編號：1006-1010（2014）-17-0060-04

1 背景簡介

隨著移動互聯網爆炸式的發展，智能手機終端所面臨的安全威脅日益突出。其安全威脅包括惡意應用、騷擾電話、垃圾短信等，其中惡意應用對用戶的危害最大。2014年8月2日，來自廣東的大一學生開發了一款名為“XX神器”[1]的病毒，在一天之內感染超過百萬部手機。它的形態是這樣的：用戶接收到一條短信，里面包含“http：//cdm.xx.xx/xx/xxshenqi.apk”的地址。當Android手機用戶點擊該地址時，會直接下載這個apk安裝文件，下載完成后，系統將進入安裝流程。如果用戶授予手機安裝任何軟件的root權限，系統將不詢問用戶，直接安裝。如果沒有root權限，系統在安裝過程中會詢問用戶是否授予這些權限，沒有警覺性的用戶會直接點“是”。當“XX神器”被安裝以后，它將遍歷這個用戶通訊錄里的所有聯系人，并給這些聯系人發送固定內容的短信。短信中包含了該軟件的下載地址。由于是好友發送的短信，收信人看到后極有可能點擊下載安裝，所以極具欺騙性和傳播性。

根據360互聯網安全中心在2014年7月31日發布的報告[2]：2014年上半年，累計截獲Android平臺新增惡意程序樣本超過84.0萬個，其中第二季度新增62.5萬個，較2013年第二季度同比大幅增長381%，較2014年第一季度環比增長191%。在所有手機惡意程序中，資費消耗類惡意程序的感染量仍然保持最高，占感染人次占總數的62.9%；惡意扣費類和隱私竊取類惡意程序的感染量分別為17.9%和17.3%；誘騙欺詐類惡意程序的感染量占比1.0%；其他類型占比之和約為0.9%。

手機惡意應用泛濫問題的根源來自多個方面：

（1）手機用戶：現階段，國內很多手機用戶使用手機應用尚無付費習慣。龐大的受眾群體使得免費應用成為惡意程序擴散的主要手段。

（2）應用開發者：除了開發收費應用之外，一部分開發者為了生存，可能不擇手段的尋找各種盈利手段，比如以各種手段誘騙、吸引用戶下載并安裝應用，利用其內嵌的廣告盈利。

（3）軟件下載渠道：下載渠道的主要盈利方式是建立在吸引大量開發者發布應用的基礎上。若對應用進行嚴格的檢測，可能導致該渠道的軟件來源減少進而影響收入。這將導致渠道商沒有進行嚴格安全檢測的動力和積極性，甚至可能采取縱容的態度。

（4）安全廠商：為手機用戶提供了免費的殺毒軟件，并可以為軟件下載渠道提供軟件安全檢測服務。但是免費殺毒的模式與其他軟件開發者生存模式一致，都是靠用戶數量盈利，無法保證其權威性與公正性。

（5）電信運營商：為軟件下載提供網絡連接，通過流量收取費用。目前運營商已開始在網絡側對惡意應用進行監測，不過尚在起步階段。

（6）國家監管機構：目前我國在手機應用安全監管方面的工作剛剛起步，沒有統一的政策、標準等監管要求，也缺乏相關監管手段進行支撐，對手機惡意應用泛濫的現狀力不從心。

綜上所述，惡意應用的泛濫有多方面的原因，為了達到對其良好管控的目的，產業鏈的各個環節都需要付出努力。

2 典型手機應用的惡意行為

下面列出了幾種較為典型的手機應用惡意行為：

（1）資費消耗：惡意應用在用戶不知情的情況下撥打電話、發送短彩信、開啟網絡連接發送用戶數據，導致用戶的資費損失。例如某惡意應用偽裝為手機壁紙應用誘導用戶下載安裝，安裝后在開機或重啟時自動運行某惡意進程，該惡意進程會連網獲取返回鏈接，并不斷嘗試訪問這些鏈接，通過頻繁連接這些網址消耗用戶大量流量。

（2）隱私竊取：惡意應用可在用戶未確認或不知情的情況下讀取用戶電話本數據、通話記錄、短彩信數據，或者在用戶不知情的情況下進行通話錄音、拍照、攝像、定位等操作，隨后上傳收集到的隱私數據。近兩年，竊取用戶個人隱私正在成為惡意應用的主要目標之一。除了用戶隱私信息之外，高價值的用戶賬戶信息也是竊取的主要目標。例如利用某惡意應用，通過淘寶“忘記密碼”這一功能重置手機用戶的支付寶登陸密碼，而重置期間所提示的手機短信，都會被屏蔽，轉發給黑客手機服務器，若重置成功，則可盜取用戶的淘寶和支付寶賬戶信息，并將用戶賬戶資金盜走。

（3）惡意扣費：惡意代碼通過隱蔽執行、欺騙用戶點擊等手段，訂購各類收費業務或使用移動終端支付，導致用戶經濟損失。例如惡意扣費應用可以通過在代碼內嵌入業務訂購地址，或通過在線訪問的方式，在用戶不知情的情況下發起訂購。由于被訪問的訂購業務是蓄意構造的，可能不具備一系列的認證、二次確認步驟，用戶會不知不覺的“被訂購”和“被扣費”。

（4）遠程控制：一些惡意應用可將安裝了該軟件的終端變成一部“傀儡機”，在用戶不知情或未授權的情況下，接受遠程控制指令并執行相應的操作。

（5）流氓行為：惡意應用可能會在后臺運行，強制駐留系統內存，額外占用CPU資源，使手機終端運行緩慢，并且用戶不能禁止該類軟件的開機自啟動，或者用戶不能刪除、卸載該軟件。

3 手機應用安全管控體系

應對惡意應用帶來的安全威脅，需要產業鏈每個環節的共同努力。從用戶、開發者、渠道商、安全廠商、電信運營商和國家監管機構多個角度來看，手機應用發布渠道商對應用的嚴格管控、國家行業主管機構對渠道和應用的強力監管是最為有效的2個環節。endprint

3.1 蘋果App Store安全檢測體系帶來的啟發

移動應用市場分析機構App Annie 2012年11月發布的報告稱，蘋果App Store月收入達Google Play的4倍[3]。《連線》雜志發表分析文章表示，收入差距懸殊主要得益于蘋果近乎苛刻的質量控制機制和安全審核機制。App Store安全審核機制嚴格且不透明，主要的審核要點包括了各個方面，其中與安全相關的限制包括：采集用戶位置信息的限制、推送通知的限制、應用中包含的廣告的限制、媒體內容的限制（不能包含人身攻擊、暴力、色情、涉及宗教、文化與種族的不當內容）、不得未經用戶許可獲得用戶隱私信息。除此之外，由于蘋果App Store的封閉性，任何應用軟件、游戲的升級必須通過App Store完成。這就從另外一個角度杜絕了通過在線更新的方式將惡意代碼植入手機應用的可能性。

3.2 手機應用安全管控體系

為了應對惡意手機應用帶來的安全威脅，可以考慮從渠道商和行業監管這2個角度構建一個手機應用安全管控體系。該體系主要包括上線前和上線后2個管控階段，努力實現手機應用上線前無風險，上線后可監控。

（1）為了保證用戶安裝的手機應用是無毒無害的，則需要手機應用發布渠道商在應用上線前對其開展嚴格的安全檢測。該檢測一般包含動態檢測技術、靜態代碼分析技術，并結合人工研判，確保應用軟件不包含病毒、木馬等惡意代碼。

1）靜態分析技術

靜態分析技術[4]的基礎是惡意代碼的形式化描述方法。它需要構建惡意代碼檢測模型和惡意代碼數據庫，并在模型基礎上，結合對Andriod應用程序字節碼反編譯技術以及iOS應用程序二進制反匯編技術，通過將手機應用與惡意代碼數據庫進行匹配的方式判定該應用是否包含惡意代碼或者感染病毒。它主要包含2類方案：第一，通過掃描引擎將手機應用的安裝包進行解壓，逐一對單個文件計算特征值，并與惡意代碼特征庫中的特征值逐一比對，從而判斷應用中是否包含惡意性代碼；第二，掃描引擎將安裝包反編譯成虛擬機識別的dalvik字節碼，以每個語句單元的“操作碼”為主特征碼、以細節信息為輔助特征碼，與惡意代碼特征庫進行匹配，若發現匹配項則可判斷該應用包含惡意代碼或感染了病毒。

2）動態分析技術

靜態安全分析技術最大的缺陷在于對尚未添加的惡意代碼庫的新型程序，無法通過靜態特征碼掃描技術進行甄別。另外，靜態安全分析技術的時效性相對不足，通常惡意程序只有預先經過威脅定義、惡意代碼提取等步驟后，才可使用靜態特征碼掃描。由于惡意代碼要達到感染和破壞的目的，所以具備一定的行為特征。因此可以通過動態分析技術[5]監測手機應用的行為來判斷其是否具有惡意性。手機應用的行為特征包括對關鍵硬件外設訪問、數據通信使用、收發短彩信、語音通信的使用、數據存儲、消耗系統資源等。動態分析技術即利用代碼嵌入、模塊化組織、分層功能劃分等技術手段，對這些行為特征進行全面、準確、實時的監測和分析，結合沙箱技術，發現應用的惡意行為。

（2）上線前安全檢測保證了嵌入惡意代碼的手機應用無法在各類渠道中上線、發布。但是由于Android體系的開放性，手機應用一旦上線，其版本更新、升級將不再受到發布渠道的限制。初始的版本可能被盜版、改版、嵌入惡意代碼。這就需要對手機應用上線后的安全性做好管控。主要手段包括應用發布渠道監測、應用安裝后的安全監測、投訴處理和應急響應。

1）發布渠道監測：應用發布渠道監測需要從整個行業層面開展。在國內，較大的Android手機應用商城已經超過了100個，同款應用在這些商城中可能都有上架銷售。對于某一款應用而言，渠道監測的主要工作在于監測該應用在不同應用市場的版本數、下載量、盜版軟件的下載量、嵌入的廣告商等信息，發現和預警應用軟件被篡改和盜版的情況。除了自動化的搜索技術、軟件同源性分析技術和廣告代碼分析技術之外，應用商城還需要開放相關的接口以供監測。

2）軟件安裝后安全監測：該監測的主要目標在于研判應用安裝上線后，是否通過合法的渠道進行更新，是否通過更新、升級等方式具有了惡意行為。這就需要通過某個安裝在客戶端的第三方應用收集客戶端上已安裝應用的行為，如應用程序本地行為和網絡行為數據、應用更新數據等，并提交到網絡側進行分析。如果需要開展此類監測，這個第三方監測應用需要具備一定的公正性和公信力。

3）投訴處理和應急響應：全行業惡意手機應用的投訴處理和應急響應需要從國家行業管理的角度進行考慮。它需要建立投訴處理機制、應急響應機制和相關管理平臺，用于收集用戶投訴信息，并進行相應的處置。若遇到突發情況，例如應用出現惡意行為、用戶投訴、上級要求等，能夠及時響應和處置。

4 手機惡意應用發展趨勢分析

對惡意應用的治理實際上是與惡意代碼編寫者長期角力的過程。應對惡意應用的不斷發展，檢測手段、監控手段也需要不斷的更新換代。

（1）惡意應用安全檢測難度加大

隨著惡意應用升級和新技術的融入，安全檢測難度越來越大。惡意應用具有如下發展趨勢：首先，惡意應用的功能將不斷升級，加入更多新功能，使得其傳播、感染范圍會不斷加大。其次，惡意應用的隱蔽性更強，并將采用更多隱藏進程、代碼混淆技術，在加大分析難度的同時進一步威脅用戶的手機安全。

（2）病毒傳播方式更靈活多變，增加了安全防護的難度

更加多元化的傳播方式，增加了手機感染病毒的機率，對安全防護更增加了難度。例如將病毒主體偽裝為常用的手機應用，降低用戶警惕心理；假借運營商、銀行短信端偽造“官方”通知，偽造用戶的好友短信、彩信，并在通知和短彩信中包含相關下載鏈接誘導用戶點擊安裝（“XX神器”就是偽造好友短信誘導用戶安裝）；利用藍牙、手機存儲卡等方式進行植入傳播。

（3）手機病毒將繼續向趨利化、多平臺化方向傾斜

2014年，手機病毒將繼續向多元化、層次化方向傾斜，扣費類病毒在2014年超越傳統的以破壞手機運行為目的手機病毒，成為對用戶威脅最大的移動安全威脅。伴隨Android平臺目前在智能機市場的占有率狂飆式增長，以及該系統平臺自身開源性較強、簽名驗證機制較為薄弱、系統自身存在漏洞等原因，目前Android手機已經成為黑客重點攻擊的目標。盡管iPhone和黑莓的操作系統由于對外接口有限，開放性不夠，但在犧牲了手機功能的情況下，安全性得到了一定保障。但是，國內一些用戶的iPhone“越獄”版則沒有任何安全性可言，也極易遭遇手機病毒威脅。

參考文獻：

[1] 通信產業網. “XX神器”驚擾七夕節 警惕移動互聯病毒[EB/OL]. （2014-08-18）. http：//www.ccidcom.com/html/hulianwang/yidonghulianwang/201408/18-231796.html.

[2] 360互聯網安全中心. 2014年第二期中國手機安全狀況報告[EB/OL]. （2014-07-31）. http：//zt.360.cn/report/.

[3] 王艷紅，楊丁寧，史德年. 當前移動應用軟件常用安全檢測技術[J]. 現代電信科技， 2012（9）.

[4] 路程，張淼，徐國愛. 基于源代碼靜態分析技術的Android應用惡意行為檢測模型[EB/OL]. （2011-11-03）. http：//www.paper.edu.cn/releasepaper/content/201111-54.

[5] 吳俊軍，方明偉，張新訪. 基于啟發式行為監測的手機病毒防治研究[J]. 計算機工程與科學， 2010（1）.endprint