Android智能機頂盒的安全分析與研究

毛澤杰，吳蔚華

(國家廣播電視產品質量監督檢驗中心，北京 100015)

Android智能機頂盒的安全分析與研究

毛澤杰，吳蔚華

(國家廣播電視產品質量監督檢驗中心，北京 100015)

摘要:目前國內大多數智能機頂盒采用Android系統。Android系統最大的特點是開放性，這使得Android智能機頂盒面臨嚴峻的安全形勢。為了保證Android智能機頂盒的安全性，首先給出了Android智能機頂盒的定義，概述了智能機頂盒的安全現狀，然后從整個產業鏈的角度對智能機頂盒的安全問題進行了分類，詳細分析了智能機頂盒的安全威脅來源，最后詳細介紹了智能機頂盒的安全防護策略。

關鍵詞:智能機頂盒；信息安全；Android系統

隨著三網融合的不斷深入，彩電行業經歷著巨大的變革。視頻編解碼技術的提升，顯示技術更新換代，智能操作系統的普及，以及網絡帶寬的提升，電視已經正式步入了高清化、智能化、網絡化時代。

智能機頂盒是智能電視的一種產品形態，由于價格低廉、功能豐富、使用方便，深受使用者的喜愛。目前，國內的智能機頂盒基本都采用Android系統。Android智能機頂盒是指除具備傳統電視機頂盒功能外，搭載了高性能的處理芯片，配備了Android操作系統，擁有豐富的應用軟件平臺和內容平臺，并且可以自由安裝、卸載應用軟件，可以對系統軟件進行更新，滿足用戶個性化和多樣化需求的產品。

然而，由于Android系統的開放性，在給人們生活帶來娛樂與方便的同時，也將安全問題引入了電視領域，非法刷機、非法內容播放、安裝非法應用軟件、用戶數據的丟失和篡改等問題使得智能機頂盒的安全面臨著巨大的挑戰。

1智能機頂盒安全問題分析

智能機頂盒是一個龐大的產業，涉及到內容、應用、網絡運營、終端等多個方面。分析與解決智能機頂盒的安全問題需要從智能機頂盒產業鏈的整體環境著手。

1.1智能機頂盒的產業鏈

智能機頂盒產業鏈是一個多元化的系統，本文從應用和內容的維度將智能機頂盒產業鏈分為應用、內容、網絡、終端4個部分(見圖1)。

圖1　智能機頂盒產業鏈

1.2智能機頂盒的安全分類

智能機頂盒安全威脅就是采用各種手段，試圖利用系統的弱點、缺陷或漏洞，使得信息的私密性、完整性和可用性遭到破壞，并對用戶甚至國家安全造成嚴重后果。智能機頂盒的主要安全威脅有以下幾種情況[1]：

1)通過應用軟件非正當渠道獲取非法內容。

2)第三方應用攜帶木馬病毒。

3)竊取用戶的個人信息。

4)遠程操控智能機頂盒。

5)破壞智能機頂盒的軟件或硬件系統。

6)用戶私有數據的丟失。

通過分析上述安全威脅，本文將智能機頂盒的安全進一步分類為第三方應用軟件安全、內容安全、網絡安全、終端安全。

1.2.1第三方應用軟件安全

由于國內智能機頂盒采用的Android系統是開源的，開放的API接口使得任何的開發者和企業都可以進行第三方應用的開發。有些開發者有目的性地引用一些木馬或者留有后門，還有些開發者水平有限，開發的應用存在漏洞，被一些不法分子所利用。而各個應用商店由于技術水平和監管方式不盡一致，使得這些存在缺陷的應用軟件進入智能電視應用商店。一旦用戶安裝并運行這些應用，用戶的個人信息、賬戶信息等隱私數據遭到嚴重威脅。

1.2.2內容安全

智能機頂盒作為廣播電視播放的一種方式，搭載的內容播控平臺必須經過廣電總局批準和認可。目前廣電總局已經批準了七家內容集成播控平臺和14家互聯網電視內容平臺。但有些企業和互聯網站仍然將自己開發的內容平臺通過應用的方式向用戶提供服務，其中就有一些自定義頻道、翻墻和使用代理服務器的功能，使得境外和威脅國家安全言論的節目直接面向用戶。

1.2.3網絡接入安全

智能機頂盒一般都是通過路由器連接到互聯網，互聯網是開放的網絡，計算機網絡固有的缺陷會影響智能機頂盒安全。常見的有以下幾種：

WiFi網絡攻擊。WiFi是智能機頂盒常用網絡連接方式之一，而攻擊者可以利用無線網絡破解工具破解WiFi密碼從而連接到內部網絡，通過掃描智能機頂盒獲取遠程調試端口，從而通過該端口對智能機頂盒的系統進行遠程操作和控制。

ARP協議漏洞。攻擊者可以利用協議的漏洞，通過一些技術手段欺騙智能機頂盒、網關，從而對終端的數據進行竊取，對用戶發送的數據進行偵聽，使得用戶的信息安全遭到嚴重威脅。

1.2.4終端安全

智能機頂盒終端可以分成多個層次，具體可以分為硬件層、系統層、用戶數據層、應用層，詳細的系統結構如圖2所示。

圖2　智能機頂盒終端結構圖

智能機頂盒終端的安全可以分為硬件安全、系統安全、外圍接口安全、用戶數據安全。

1)硬件安全主要包括了電視芯片和智能芯片的安全，芯片的調試端口很可能被攻擊者所利用，從而控制終端，攻擊者可以遠程操控智能機頂盒進行任何操作。

2)系統安全指的是保護系統的數據和信息，拒絕未授權用戶的訪問，拒絕未授權用戶對信息的修改，并有相應的措施來檢測和屏蔽威脅，從而使系統達到最佳的安全程度。

3)外圍接口安全，智能機頂盒包含了多個外圍接口，常見的有HDMI、RJ-45、USB、音視頻接口、TF卡等接口，為用戶提供了多種外圍設備連接方式。用戶使用外部設備接口與智能機頂盒連接時，需要進行提醒和確認，同時防止外設中的病毒或木馬程序感染終端。

4)用戶數據安全包含以下3個方面：

(1)私密性是指只有被授權程序才能讀取或修改數據，未授權程序不能對數據進行操作；

(2)完整性是指數據合法沒有被其他人篡改，所有的數據都是正確的狀態；

(3)可用性是指數據被請求訪問時，系統能夠按照預定的性能級別提供訪問服務。

2智能機頂盒安全防護策略

針對上述智能機頂盒的安全威脅，從應用、內容、網絡和終端4個方面，對上述威脅提出相應的策略和解決方案。

2.1應用軟件的安全性測試

Android系統的開放性，使得任何開發者都可以進行應用軟件的開發，并通過應用商店面向用戶。為了保證用戶下載及使用應用軟件的安全性，需要對應用軟件進行安全檢測與分析。應用軟件安全檢測的方法有靜態分析法和動態運行分析[2]。

1)靜態分析應用軟件程序

靜態分析法是指通過分析應用程序反匯編后程序代碼的語法、結構、接口等來檢查應用軟件惡意行為的方法。

Android應用程序靜態分析常用的工具有IDAPro和Androguard。IDAPro可以用快速定位Android程序的關鍵代碼，Androguard工具包可以用來分析惡意軟件。

常采用兩種方法來靜態分析Android程序：分析反匯編的Dalvik字節碼和分析反匯編的Java源碼。

2)動態運行分析

動態運行分析是指在應用軟件運行時，對其運行的狀態進行監控，獲取執行跟蹤、時間分析以及測試覆蓋率等方面的信息，從而分析是否包含惡意代碼的行為特征。

動態檢測技術常采用狀態對比和行為跟蹤兩種方法。狀態對比是指采用對比方式對軟件行為進行抽取分析，比較程序執行前后的系統狀態。行為跟蹤是在軟件執行過程中，通過捕獲軟件的操作來進行軟件行為分析。

2.2內容安全防護

當前，內容安全的主要問題是兩種：第一種是有些視頻類應用軟件內置了自定義、翻墻和代理服務器的功能。第二種是可以通過輸入IP地址，實現手機、PC機、智能機頂盒之間的內容共享。針對這些問題，需要在技術上進行屏蔽。有相關功能的應用應強制下架。

根據廣電總局181號文件的要求，互聯網電視內容服務平臺只能接入廣電總局批準設立的互聯網電視集成播控平臺。終端產品不得與其他訪問互聯網的通道，不得與網絡運營企業的相關管理系統、數據庫進行連接[3]。智能機頂盒終端產品只能綁定一家內容集成播控平臺。只要各終端廠商嚴格執行，內容安全就可以得到保證。

2.3網絡安全

智能機頂盒網絡安全是計算機網絡固有的問題，在技術上需要對網絡協議進行更新換代或升級。同時用戶在使用智能機頂盒時需要提升自身的安全意識。應用需要訪問用戶的信息、位置、通訊錄等信息時，要對訪問信息進行核實。用戶可以根據需要安裝專業的安全軟件來維護智能機頂盒的安全。

2.4終端安全防護

智能機頂盒終端安全的防護包括硬件和軟件兩部分。有人提出了硬件安全防護從芯片層面來保證智能機頂盒設備終端的安全性方案[4]。此處從硬件安全威脅、Android系統的安全以及用戶數據安全方面來進行分析。

1)硬件安全防護

智能機頂盒硬件平臺具有高性能、整體化、緊湊化設計等特點。

智能機頂盒硬件安全有直接硬件攻擊和軟件攻擊。硬件攻擊一般是芯片的調制端口被攻擊者所利用來控制終端，因此在產品出廠前調試端口應該被禁止。軟件攻擊是智能機頂盒硬件平臺設計的特點，大部分是通過軟件大量頻繁地調用硬件設備，讓硬件設備超負荷運作，使其壽命縮短。

2)Android系統安全

Android系統是基于Linux操作系統內核開發出來的，Android的安全模型繼承了Linux內核的安全機制，并在進程管理、權限、進程間通信、內存管理、應用程序簽名等方面都做了加強。Android系統的安全機制主要包括以下幾個方面：

(1)進程沙箱

用戶標識UID是給每個安裝在Android智能機頂盒中應用程序分配的ID。UID與應用程序一一對應，UID在應用程序存在設備期間，保持不變。UID的使用使得每個應用程序都在應該獨立的進程空間運行，與其他應用程序在資源上形成隔離，從而形成了應用程序的沙箱。被限制在“沙箱”中運行的應用程序之間互不干擾，把應用程序之間、應用程序與操作系統之間的損害降到最低。

(2)應用權限

沙箱將互不信任的應用程序進行了隔離，而ShareUserID則提供了互相信任應用程序之間的資源共享。在Android安全機制中，使用應用權限機制決定應用程序的API和系統資源是否允許訪問。權限為Android系統的安全提供了保障，也為用戶的某些特殊需求提供了實現基礎。

(3)進程通信

進程通信為了使得程序間進行數據交換與服務而提供的一種機制。傳統的方式有管道、信號、信號量、共享內存、消息隊列等。雖然Android系統使用Linux內核，但在實際中Android是從組件的角度來實現通信的。

在系統安全方面，應用程序是基于權限機制定義進程通信的權限。 采用Binder進程間通信機制在類型安全上有優勢。Binder是通過共享內存機制(Ashmem)實現進程通信，效率更高。

(4)內存管理

Android的內存管理機制有Ashmem匿名共享內存和LMK兩種機制。

Ashmem機制是基于Linux內核的共享內存，但是Ashmem與cacheshrinker關聯起來，增加了內存回收算法的注冊接口，因此Linux內存管理系統將不再使用內存區域加以回收[5]。

LMK機制是在同時運行多個應用程序時，退出一個程序并不會立刻殺死它，而是將它先主流在內存中，縮短下次運行時的啟動時間。

(5)應用程序簽名

開發者開發每一款應用程序時，都需要使用密鑰文件對其進行數字簽名，是開發者的一種有效身份標識。如果軟件運行時的簽名與發布者不一致，說明應用程序被篡改了。當應用程序升級時，發現升級應用與原始應用的簽名不一致，則將其作為一個新應用程序安裝。應用簽名還可以用來在相同簽名的應用程序間建立共享資源關系。

3)用戶數據安全

為了防止用戶數據在用戶未授權時，被其他人利用，造成用戶私有數據和信息的泄露，可以采用權限控制的方法。通常的權限控制是指軟件系統的權限控制，還可以采用硬件的權限控制方式，直接在硬件層面劃分權限，可以達到權限控制的目的。針對傳輸數據被惡意篡改的現象，可以對文件進行加密保護，保證傳輸過程中數據的完整性。對于用戶數據可能被刪除的情況，可以采取對用戶數據進行自動備份的機制。

3結束語

Android智能機頂盒的安全問題與整個產業鏈有著密切的聯系，雖然在內容、應用、網絡和終端上都有相應的安全措施，但這還遠遠不能滿足要求。智能機頂盒的安全是一個長期性的問題，主要源于應用軟件安全、網絡安全和智能機頂盒終端安全的場景在不斷變化。智能機頂盒的信息安全僅僅通過技術的防御和加強是無法從根源上解決的，還必須配合政策和管理。智能機頂盒的使用用戶也需要不斷加強安全意識，對應用軟件的訪問要嚴控，并及時對系統進行更新。

參考文獻：

[1]宋杰，黨李成，郭振朝，等.AndroidOS手機平臺的安全機制分析和應用研究[J].計算機技術與發展，2010(6)：152-155.

[2]童振飛，楊庚.Android平臺惡意軟件的靜態行為檢測[J].江蘇通信，2011(1)：39-42.

[3]廣電總局.廣電總局辦公廳關于印發《持有互聯網電視拍照機構運營管理要求》的通知(廣辦發網字[2011]181號)[EB/OL].[2015-08-08].http://www.360doc.com/content/13/1128/09/1841814_332745411.shtml.

[4]胡冰松，黃小桑. 一種安全的智能機頂盒實現方案[J].電信科學，2013(4)：33-36.

[5]吳倩，趙晨嘯，郭瑩.Android安全機制解析與應用實踐[M].北京：機械工業出版社，2013.

責任編輯：許盈

SecurityanalysisandresearchofAndroidsmartset-topbox

MAOZejie,WUWeihua

(National Testing and Inspection Center for Radio and TV Products, Beijing 100015，China)

Abstract:At present, most of the smart set-top boxes use Android system. The greatest character of Android is open, which makes the Android smart set-top box facing with security threat. In order to protect the Android smart set-top box, firstly, the definition of Android smart set-top box is present, and the present status of safety of the smart set-top box is summarized. Secondly, from the angle of the whole industrial chain, the classification of the smart set-top box security is carried on, the source of security threat is analyzed in detail. Finally, the security protection strategy of the smart set-top box is introduced.

Key words:smart STB; information security; Android OS

中圖分類號:TN949

文獻標志碼:A

DOI：10.16280/j.videoe.2016.03.017

收稿日期：2015-10-26

文獻引用格式：毛澤杰，吳蔚華.Android智能機頂盒的安全分析與研究[J].電視技術，2016，40(3)：79-82.

MAOZJ,WUWH.SecurityanalysisandresearchofAndroidsmartset-topbox[J].Videoengineering，2016，40(3)：79-82.