移動智能終端APP發(fā)展趨勢及面臨的安全挑戰(zhàn)

趙旺飛

（中國移動通信集團廣東有限公司珠海分公司，廣東 珠海 519015）

1 引言

隨著終端智能化趨勢越來越明顯，終端功能的復(fù)雜度不斷提高，從而引發(fā)終端APP應(yīng)用市場的快速發(fā)展。據(jù)工業(yè)和信息化部電信研究院統(tǒng)計，2014年第3季度全球智能終端出貨量達到3.28億臺，預(yù)測2015年全球手機出貨量約20億部，其中智能手機近15億部。同時在移動終端APP應(yīng)用市場，蘋果、谷歌、微軟3個官方應(yīng)用商店應(yīng)用總數(shù)超過310萬款，而Google Play應(yīng)用數(shù)量快速增長，超越APP Store成為第一。隨著終端上網(wǎng)用戶數(shù)的日益增多，通過各種途徑下載和安裝APP，帶來了大量潛在的、新的安全風險。

2014年上半年網(wǎng)秦共查殺到手機惡意軟件8 5970款，同比增長68.3%，其主要通過第三方應(yīng)用商店、手機論壇、短信鏈接和二維碼等途徑傳播，其中96%來自安卓平臺，3%來自塞班平臺，其中欺詐類惡意軟件和扣費類惡意軟件感染比例位列前兩位，超過了80%。

移動智能終端APP惡意軟件發(fā)送大量的垃圾短信或者產(chǎn)生異常高額流量，這一方面影響了用戶手機的正常使用，給用戶帶來巨大的經(jīng)濟損失，另一方面給運營商網(wǎng)絡(luò)帶來了沖擊，造成網(wǎng)絡(luò)資源的無用消耗。因此分析移動終端APP應(yīng)用軟件特征行為、建立手機惡意軟件“云管端”立體防治體系、加強移動MM等眾多第三方應(yīng)用商店的管理和監(jiān)控，對保護手機的安全具有重要的意義。

2 當前APP的發(fā)展形態(tài)

2.1 移動終端應(yīng)用APP化

APP已經(jīng)改變了移動終端用戶的生活方式、交流方式、購物方式和娛樂方式，實現(xiàn)了出行APP（去哪兒、百度地圖）、交流APP（微信、QQ）、購物APP（淘寶、京東）、就餐APP（大眾點評、美團）等，囊括了移動用戶衣食住行的各個方面。

2.2 應(yīng)用APP應(yīng)用商店呈現(xiàn)三大梯隊

在國內(nèi)市場，我國互聯(lián)網(wǎng)企業(yè)推出的第三方應(yīng)用商店應(yīng)用規(guī)模與官方差別逐步縮小，在用戶市場份額中更是遙遙領(lǐng)先，并呈現(xiàn)三大梯隊趨勢。第一梯隊：百度、360和騰訊傳統(tǒng)互聯(lián)網(wǎng)巨頭，以用戶和資金優(yōu)勢，位居應(yīng)用商店前列；第二梯隊：主要是豌豆莢、手機自帶應(yīng)用商店及App Store等；第三梯隊：以傳統(tǒng)運營商（中國移動、中國電信和中國聯(lián)通的軟件應(yīng)用商店）的手機應(yīng)用商店為主。

2.3 應(yīng)用APP使用特性

用戶花在APP上的時間已經(jīng)明顯超過通過電腦訪問互聯(lián)網(wǎng)的時間。自2012年以來，人們使用手機終端時，花費在APP上的時間已經(jīng)超過網(wǎng)頁，而且勢頭不減。對APP的依賴意味著對網(wǎng)絡(luò)的需求更為強烈，對移動網(wǎng)絡(luò)的維護和管理更加重要。

3 APP的發(fā)展趨勢

3.1 趨勢一：APP應(yīng)用回歸常態(tài)需求

調(diào)查顯示，近半數(shù)的用戶會安裝20 個以上的APP，但是經(jīng)常使用的APP不到一半，大約5～10個。從現(xiàn)實來看，2014年大量APP涌現(xiàn)到用戶面前，但真正能夠維系用戶并與巨頭分庭抗禮的APP很少，隨著人們對APP的接受度不斷提高，人們對移動信息的獲取已經(jīng)出現(xiàn)過剩，安裝嘗試新APP的動力明顯不足，全新的APP想獲得脫穎而出的機會越來越難。

3.2 趨勢二：功能性APP趨向整合

功能性APP或被超級APP整合，而超級APP的入口平臺化趨勢日漸明朗。伴隨整合的發(fā)生，超級APP幾乎覆蓋人們的日常生活，從網(wǎng)絡(luò)監(jiān)測的視角，可建立超級APP評測專庫，可起到以點帶面地對全網(wǎng)的質(zhì)量進行監(jiān)控。

整合1：功能性APP或被超級APP整合。基于目前超級APP的平臺擴展能力，越來越多的功能接入到超級APP當中，比如打車軟件，微信接入了滴滴打車，支付寶接入了快的打車，人們能夠通過支付寶或微信直接享受打車的服務(wù)。

整合2：超級APP的入口平臺化趨勢日漸明朗。

（1）360安全應(yīng)用+手機助手：手機助手2.75億用戶，覆蓋國內(nèi)80%的安卓用戶，累計下載突破200億次。

（2）百度收購91形成合力，覆蓋超過50%的智能機用戶，70萬開發(fā)者。

（3）還有阿里巴巴+UC瀏覽器+新浪微博。

互聯(lián)網(wǎng)巨頭整合現(xiàn)有移動分發(fā)能力，有助于其后續(xù)入口平臺化生態(tài)的形成。

3.3 趨勢三：APP發(fā)展新方向

基于Web技術(shù)的新形態(tài)APP出現(xiàn)，對原生APP產(chǎn)生沖擊。傳統(tǒng)技術(shù)與新興技術(shù)融合加速，APP間的調(diào)用與互動愈加頻繁，對移動網(wǎng)絡(luò)的監(jiān)控與管理提出了更高的要求。要求我們跟進最新技術(shù)，更加重視技術(shù)快速發(fā)展演變中的網(wǎng)絡(luò)與終端、網(wǎng)絡(luò)與新型APP交互適配的問題。

超級應(yīng)用構(gòu)建Web應(yīng)用承載平臺的2種方式：

（1）輕應(yīng)用：由百度首創(chuàng)，結(jié)合搜索引擎開創(chuàng)“即搜即用”的新Web應(yīng)用分發(fā)方式。

（2）公眾賬號：由騰訊最早在微信推出，以社交網(wǎng)絡(luò)為基礎(chǔ)構(gòu)建企業(yè)或個人的自媒體平臺，開創(chuàng)廣播式的Web應(yīng)用分發(fā)方式。

以HTML5為代表的新一代Web技術(shù)推動移動瀏覽器從網(wǎng)頁瀏覽工具向應(yīng)用承載平臺轉(zhuǎn)變。APP開發(fā)環(huán)境占比分析如圖1所示：

圖1 APP開發(fā)環(huán)境占比分析

目前HTML5已經(jīng)成為移動開發(fā)者的第三大開發(fā)語言。應(yīng)用形態(tài)形成了如下2種形式：（1）百度輕應(yīng)用+Web：輕應(yīng)用已經(jīng)成為移動瀏覽器的標配；（2）微信公共賬號IM+Web：以HTML5技術(shù)構(gòu)建的微信和支付能力構(gòu)建閉環(huán)的Web應(yīng)用生態(tài)。

3.4 趨勢四：APP安全問題突出

圖2 APP對用戶權(quán)限的訪問情況

4 智能終端惡意軟件防治體系

4.1 手機惡意軟件“云管端”立體防治體系

手機惡意軟件防治體系由“云、管、端”3部分構(gòu)成，由“手機惡意軟件多維度偵測系統(tǒng)”、“SP惡意訂購多維度追查系統(tǒng)”、手機殺毒軟件“殺毒先鋒”組成，其中手機惡意軟件多維度偵測系統(tǒng)在網(wǎng)絡(luò)側(cè)對惡意軟件進行偵測，是整個體系的核心。具體防治措施包括對惡意軟件進行網(wǎng)絡(luò)封堵、對涉惡意軟件SP進行處置、引導(dǎo)用戶在終端側(cè)進行殺毒。

4.2 手機惡意軟件多維度偵測系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)

手機惡意軟件多維度偵測系統(tǒng)的主要數(shù)據(jù)來源是不良信息系統(tǒng)（Gi口）、Gn數(shù)據(jù)業(yè)務(wù)分析系統(tǒng)、垃圾短信攔截系統(tǒng)、垃圾彩信監(jiān)測系統(tǒng)、139郵箱、終端識別系統(tǒng)等六大系統(tǒng)，實現(xiàn)對大量第三方手機應(yīng)用軟件和官方網(wǎng)站下載的標準應(yīng)用軟件進行對比分析。

4.3 手機惡意軟件多維度偵測系統(tǒng)邏輯結(jié)構(gòu)

移動手機惡意軟件多維度偵測系統(tǒng)邏輯結(jié)構(gòu)如圖3所示：

圖3 移動手機惡意軟件多維度偵測系統(tǒng)邏輯結(jié)構(gòu)

（1）雙引擎：手機惡意軟件多維度偵測系統(tǒng)采用雙引擎技術(shù)（手機病毒行為分析引擎+病毒體掃描引擎），對網(wǎng)絡(luò)的數(shù)據(jù)進行分析、掃描。

（2）4個病毒庫：為提升偵測效果，系統(tǒng)用了4個病毒庫，包括自有惡意軟件行為特征庫、自有病毒體特征庫、第三方的2個病毒體特征庫。

（3）病毒的判定：對于病毒庫中有的病毒，直接判定；對于庫中沒有的新手機病毒，則形成疑似案例，經(jīng)人工追查后再判定。

4.4 手機惡意軟件多維度偵測系統(tǒng)偵測原理

手機惡意軟件多維度偵測系統(tǒng)采用了病毒行為分析法和病毒體掃描法，這2種方法形成互補，綜合運用形成雙引擎?zhèn)蓽y。

多與患者溝通，告知患者進行放療的原因及預(yù)期療效，同時告知患者放療的副作用、可能發(fā)生的不良反應(yīng)及處理措施。治療期間，仔細詢問患者的身體感受，引導(dǎo)患者說出自己的困擾及疑慮，認真傾聽，并及時疏導(dǎo)患者的負面情緒，向患者介紹成功治療個案，介紹主治醫(yī)生的專業(yè)權(quán)威性，幫助患者樹立信心，以樂觀的心態(tài)接受治療，積極配合醫(yī)務(wù)人員的工作。

（1）病毒行為分析法：根據(jù)病毒通信行為（上網(wǎng)、發(fā)短信、彩信等）分析手機中毒情況。

優(yōu)點：1）準確率高：手機已有中毒后的異常通信行為，準確率100%。2）發(fā)現(xiàn)概率高：有些病毒發(fā)作頻繁，即使出現(xiàn)數(shù)據(jù)采集丟包，仍有機會捕捉到。通過刷機、存儲卡拷貝、藍牙等方式傳播的病毒，只要有通信行為，也能偵測到。3）能夠發(fā)現(xiàn)新惡意軟件：能捕捉新出現(xiàn)的病毒行為，并可補充到病毒行為特征庫和病毒體特征庫中。

缺點：若病毒沒有網(wǎng)絡(luò)通信行為，則無法偵測到。

（2）病毒體掃描法：根據(jù)病毒體對手機下載或傳播的文件進行掃描，判定手機是否中毒。

優(yōu)點：能掌握用戶病毒文件下載情況，聚焦高疑中毒用戶；不管病毒是否有通信行為，只要是通過網(wǎng)絡(luò)傳播的，都可捕捉到。

缺點：1）準確率不理想：若用戶下載后沒存盤或沒安裝，則會出現(xiàn)誤判。2）遺漏中毒用戶：用戶下載病毒文件一般只有一次，如采集丟包，就會出現(xiàn)中毒用戶偵測遺漏。對于通過刷機、存儲卡拷貝、藍牙等方式傳播的病毒無法偵測；3）無法發(fā)現(xiàn)新惡意軟件：對新病毒沒有判斷能力，會出現(xiàn)大量遺漏中毒用戶。

5 惡意軟件應(yīng)用場景及防治

5.1 頻繁發(fā)送垃圾短信的惡意軟件識別

在Android手機使用瀏覽器訪問網(wǎng)址——http://happy.kakaobe.com，連接成功后，瀏覽器沒有顯示任何訪問的內(nèi)容，但提示有文件下載，下載的文件名為downloadfile.apk，下載的文件大小為345KB。對已經(jīng)下載的文件進行安裝運行，無任何提示信息，軟件無界面，查看后臺進程列表，進程列表多了1個com.google.cckun的后臺進程。結(jié)果約2分鐘以后，手機通訊錄中的各個聯(lián)系人均收到一條短信，短信的內(nèi)容是——start http://198.148.81.76，訪問該URL，瀏覽器提示“找不到網(wǎng)頁”。

通過提取智能終端后臺運行日志信息，發(fā)現(xiàn)使用瀏覽器訪問目標網(wǎng)址時，實際是下載一個文件，瀏覽器檢測到下載文件后，直接托管到系統(tǒng)的“下載管理器”進行下載，下載的文件名是downloadfile.apk，文件名稱比較普通，不帶明顯的標識，會被當做一般的文件進行安裝。

對文件downloadfile.apk進行安裝并運行，軟件無任何提示信息、無任何可見界面，處于后臺運行。抓包文件顯示，程序第1次運行時，直接通過HTTP協(xié)議訪問URL http://198.148.81.68:8080/memo.txt，下載一個文本文件。根據(jù)后續(xù)短信收到的內(nèi)容，該下載為發(fā)送短信的內(nèi)容。通過網(wǎng)絡(luò)跟蹤到該惡意軟件頻繁發(fā)送垃圾短信的信令信息截圖如下圖4所示：

圖4 網(wǎng)絡(luò)信令跟蹤惡意軟件運行特征

對圖4的截圖進行分析，該軟件目前運行時只獲取電話本里面的號碼，并分別給每個號碼發(fā)送一條短信，短信的內(nèi)容是——start http://198.148.81.76，并無其他網(wǎng)絡(luò)上的操作。對端接收到該條短信后，訪問URL http://198.148.81.76，下載的也是一個apk安裝軟件，經(jīng)測試，下載的軟件和已經(jīng)安裝的軟件是同一個軟件，并不是新的軟件。

5.2 APP應(yīng)用軟件導(dǎo)致產(chǎn)生高額流量

經(jīng)常有移動終端用戶反饋在智能手機上網(wǎng)絡(luò)流量異常。用戶反饋日常一個月100M流量已經(jīng)能夠正常使用，而網(wǎng)絡(luò)流量突增為1天消耗超過200MB。

如“資訊與天氣”這款天氣與資訊的桌面插件APP提取自Nexus one的系統(tǒng)，需要2.1以上的ROM支持，功能包括天氣更新、焦點新聞、內(nèi)地新聞、體育和娛樂等，并內(nèi)置更新設(shè)置。該款A(yù)PP的數(shù)據(jù)來源為Google新聞網(wǎng)站，Google本身不提供這些新聞，只提供新聞的鏈接。

“資訊與天氣”APP軟件嚴格按照設(shè)置的時間間隔進行新聞的更新，測試的過程中，分別設(shè)置為6個小時和30分鐘進行刷新，軟件嚴格按照這個時間間隔進行刷新，遵循3個步驟進行更新：

步驟1：通過POST命令與www.google.com獲取需要更新的新聞鏈接，返回的數(shù)據(jù)約為4KB左右，更新新聞的數(shù)目不同，內(nèi)容的大小不一致，內(nèi)容為加密不可見。

步驟2：根據(jù)步驟1中的返回，Google服務(wù)器能夠明確指定與新聞鏈接相關(guān)的圖片，通過POST命令發(fā)送需要下載的圖片，服務(wù)器一次返回所有下載的圖片。

步驟3：根據(jù)步驟1中返回的新聞鏈接，依次下載對應(yīng)的新聞，并解析出新聞的標題，用于在對應(yīng)的欄目中顯示標題；本次下載的鏈接，會在緩存中保存下載的內(nèi)容，實際閱讀新聞時會直接從緩存中提取內(nèi)容。異常高流量APP應(yīng)用運行機制分析如圖5所示：

圖5 異常高流量APP應(yīng)用運行機制分析

由于該APP應(yīng)用軟件界面只顯示新聞標題，實際后臺下載整個頁面內(nèi)容，但不包含頁面的圖片鏈接。下載新聞鏈接時，按照兼容IE7的方式下載，下載內(nèi)容與電腦訪問的內(nèi)容相同，從而導(dǎo)致每個新聞網(wǎng)頁的流量過大。

5.3 屏蔽10086短信的惡意軟件追查分析

截至2014年底，廣東共發(fā)現(xiàn)30多種屏蔽10086、10開頭短信的惡意軟件，占已發(fā)現(xiàn)惡意軟件總數(shù)的4.5%，具體包括寶箱吸費僵尸、短信破壞王、時間誤報等。

這些屏蔽10086短信的惡意軟件原理如下：

（1）惡意軟件安裝后駐留內(nèi)存，接管手機短信收發(fā)件箱工作。

（2）對收件箱中10086、10開頭短信進行刪除。

（3）對惡意軟件后臺發(fā)送的短信也進行刪除。達到后臺訂購目的。

6 結(jié)束語

本技術(shù)方案分析了移動智能終端APP的發(fā)展趨勢，重點闡述了當前APP存在的嚴重安全問題，并為識別手機APP惡意軟件提出了一種手機惡意軟件“云管端”立體防治體系，實現(xiàn)了對通信網(wǎng)內(nèi)正在傳播的手機惡意軟件的實時監(jiān)控、對疑似病毒的跟蹤分析、對已追查確認病毒進行預(yù)警、對偵測結(jié)果分區(qū)域、分品牌、分手機型號等進行統(tǒng)計以及將手機病毒對網(wǎng)絡(luò)資源的占用情況進行統(tǒng)計的功能。

目前針對有聯(lián)網(wǎng)操作的惡意軟件，可以通過網(wǎng)絡(luò)封堵的方法降低病毒活躍度。廣東公司已按要求對相關(guān)的URL進行及時封堵，通過封堵效果觀察，病毒傳播URL已經(jīng)得到抑制。

針對APP安全問題，一方面需要國家政府及運營商不斷完善惡意軟件監(jiān)測手段，強化惡意軟件分析、預(yù)警和網(wǎng)絡(luò)封堵；另一方面需要手機安全軟件廠商（包括APP分發(fā)平臺：豌豆莢、91手機助手等）加強對平臺上APP應(yīng)用軟件的檢測，確保APP不含惡意插件。最重要的是移動終端用戶要養(yǎng)成正確下載和使用APP應(yīng)用軟件的習慣，從正規(guī)渠道下載和安裝APP，杜絕不良手機使用習慣。

[1] 中國新聞網(wǎng). 2014上半年網(wǎng)秦手機安全報告：中國居手機病毒感染榜首[EB/OL]. (2014-09-09). http://finance.chinanews.com/it/2014/09-09/6573208.shtml.

[2] 鄭浩彬. 手機惡意軟件多維度偵測系統(tǒng)[Z]. 2013.

[3] 趙旺飛. 欺詐類手機惡意軟件識別方法研究[J]. 電信工程技術(shù)與標準化, 2014(12).

[4] 文偉平,梅瑞,寧戈,等. Android惡意軟件檢測技術(shù)分析和應(yīng)用研究[J]. 通信學(xué)報, 2014(8).

[5] 李佳. Android平臺惡意軟件檢測評估技術(shù)研究[D]. 北京: 北京郵電大學(xué), 2012.