智能終端安全現(xiàn)狀及前景展望

智能終端安全現(xiàn)狀及前景展望1、 土壤已經(jīng)具備隨著移動(dòng)通信技術(shù)的發(fā)展，移動(dòng)終端發(fā)生了巨大的變化，朝著智能化的方向不斷邁進(jìn)。研究機(jī)構(gòu)Gartner稱，2011年第一季度手機(jī)銷量共計(jì)4.278億部，較上年同期增長(zhǎng)19%，其中智能手機(jī)銷量所占比例為23.6%。該機(jī)構(gòu)稱，2011年第一季度智能手機(jī)銷量較上年同期增長(zhǎng)85%。與此同時(shí)，移動(dòng)通信網(wǎng)絡(luò)也在不斷演進(jìn)，從1G、2G、3G到LTE，另外就是大量WiFi熱點(diǎn)的部署以及終端開始普遍支持WiFi，業(yè)務(wù)帶寬瓶頸逐漸緩解。伴隨著終端智能化及網(wǎng)絡(luò)寬帶化的趨勢(shì)，移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)層出不窮，日益繁榮。但與此同時(shí)，移動(dòng)終端越來(lái)越多的涉及商業(yè)秘密和個(gè)人隱私等敏感信息。移動(dòng)終端也面臨各種安全威脅，如惡意訂購(gòu)、自動(dòng)撥打聲訊臺(tái)、自動(dòng)聯(lián)網(wǎng)等，造成用戶的話費(fèi)損失；木馬軟件可以控制用戶的移動(dòng)終端，盜取賬戶、監(jiān)聽通話、發(fā)送本地信息等。移動(dòng)終端作為移動(dòng)互聯(lián)網(wǎng)時(shí)代最主要的載體，面臨著嚴(yán)峻的安全挑戰(zhàn)。惡意軟件現(xiàn)狀2.1惡意軟件主要危害入經(jīng)濟(jì)類危害：盜打電話（如悄悄撥打聲訊電話），惡意訂購(gòu)SP業(yè)務(wù)，群發(fā)彩信等。入信用類危害：通過(guò)發(fā)送惡意信息、不良信息、詐騙信息給他人等。入信息類危害：個(gè)人隱私信息丟失、泄露。如通訊錄、本地文件、短信、通話記錄、上網(wǎng)記錄、位置信息、日程安排、各種網(wǎng)絡(luò)賬號(hào)、銀行賬號(hào)和密碼等。入設(shè)備類危害：移動(dòng)終端死機(jī)、運(yùn)行慢、功能失效、通訊錄被破壞、刪除重要文件、格式化系統(tǒng)、頻繁自動(dòng)重啟等。入對(duì)網(wǎng)絡(luò)危害：大量惡意軟件程序發(fā)起拒絕服務(wù)攻擊占用移動(dòng)網(wǎng)絡(luò)資源等。如果惡意軟件感染移動(dòng)終端后，強(qiáng)制移動(dòng)終端不斷地向所在通信網(wǎng)絡(luò)發(fā)送垃圾信息，這樣勢(shì)必導(dǎo)致通信網(wǎng)絡(luò)信息堵塞。2.2惡意軟件傳播手段目前惡意軟件的傳播方式主要有5種：（1） 網(wǎng)絡(luò)下載傳播：是目前最主要的傳播方式。（2） 藍(lán)牙（Bluetooth）傳播：藍(lán)牙也是惡意軟件的主要傳播手段，如惡意軟件Carbir。（3） USB傳播：部分智能移動(dòng)終端支持USB接口，用于PC與移動(dòng)終端間的數(shù)據(jù)共享?？梢酝ㄟ^(guò)這種途徑入侵移動(dòng)終端。（4） 閃存卡傳播：閃存卡可以被用來(lái)傳播惡意軟件；閃存卡還可以釋放PC惡意軟件，進(jìn)而感染用戶的個(gè)人計(jì)算機(jī)，如CardTrap。（5） 彩信（MMS）傳播：惡意軟件可以通過(guò)彩信附件形式進(jìn)行傳播，如Commwarrior。2.3典型惡意軟件分析惡意軟件很多，舉兩個(gè)有代表性的例子。（1） 隱私竊取軟件“給你米”（Geinimi）“給你米”（geinimi）后門程序通過(guò)植入到“植物大戰(zhàn)僵尸”等多款流行手機(jī)游戲軟件中，生成新的軟件安裝包后在手機(jī)論壇、手機(jī)軟件下載站進(jìn)行線上分發(fā)。感染用戶手機(jī)后，“給你米”（geinimi）后門程序會(huì)自動(dòng)在手機(jī)后臺(tái)啟動(dòng)，推廣各類惡意廣告短信，在用戶不知情的情況下，自動(dòng)下載各類惡意推廣軟件。圖1是正常軟件申請(qǐng)的權(quán)限信息。android.permission.INTERNETandroid.permission.ACCESS_COARSE_LOCAT2ONandroid.perir.ission.READ_PHONE_STATEandroid.permission.VIBRATE圖1正常軟件申請(qǐng)的權(quán)限信息惡意軟件制作者通過(guò)修改大量的流行軟件，在其中植入了惡意特征。圖2是在正常軟件中植入“給你米”（geinimi）程序的權(quán)限信息，可以看出增加了大量的權(quán)限信息，用來(lái)獲取系統(tǒng)敏感信息。And drp*rnti*sion,xnterwetandraid?peEnission*ACCESS__COAB.SE_I.OCATIONandroid-pemission■REALs__PHa&rei^STATE；andro1d.permission.VIBRATE.匚gm?andrcid.1aunch畔菖，permison."NSTALL^SHORTCUTAfiCt d.p*mi€tionrACCESS_FIN￡_LOCATIQN^-CAIS.X_P^android.pearstission. T_UWMOUTTr_FILESYSTEMSandroid-permission?REAC'_^CONTA-GTSandroid?permission.REandroid丁pe3~Eni整占土onrSEND_SMS*：ndsoid.p*rtii1 .set^wallpaperandroid-paEEiibsion#WRITE__CONTACTSandrciidupereiisaicin-WK1TE_E.XTERNAIJ_ST0：RAGEcom.andrciid.browser.perm!ssionaREAI^HISTORYOOKHARKS?andrqid.browser.permissxcn? ISTORjf^B&OKHARKS：自：nd； 己『p。mi養(yǎng)吞土⑦n.ACCESS_5PSjindroid.,fmmisa1 CEss_LQCA.TIONandroid-pesnissionRE￡TART_：PAiZKAGESandroid?perEiission■RECKZVERSUSandroid?permission.WRZTESMS圖2 “給你米”（geinimi）程序的權(quán)限信息（2） X臥底該軟件由泰國(guó)的Vervata公司開發(fā)，引進(jìn)中國(guó)后改名“X臥底”。該軟件能夠監(jiān)聽話音、發(fā)送本地信息。其原理如圖3所示。圖3X臥底原理圖X臥底的功能和危害如下：入泄露個(gè)人隱私v個(gè)人隱私數(shù)據(jù)都被發(fā)送到第三方服務(wù)器上；入終端變成竊聽器非法竊聽電話，當(dāng)設(shè)定號(hào)碼呼入時(shí)，自動(dòng)接通，“X臥底”導(dǎo)致移動(dòng)終端既不會(huì)響鈴也不會(huì)振動(dòng)，撥打者可對(duì)移動(dòng)終端周圍的聲音非法竊聽。當(dāng)被非法竊聽移動(dòng)終端有鍵盤動(dòng)作時(shí)，自 動(dòng)掛斷電話；非法竊聽過(guò)程中，其他電話呼入會(huì)提示當(dāng)前用戶忙。3、智能終端平臺(tái)安全差異性較大目前的主要操作系統(tǒng)平臺(tái)有Android、iPhone、WindowsPhone7以及Symbian。雖然惡意軟件在各個(gè)平臺(tái)都存在，但由于各個(gè)平臺(tái)的安全機(jī)制差異甚大。其結(jié)果是，不同廠商的智能終端面臨的安全風(fēng)險(xiǎn)截然不同。甚至同樣的操作系統(tǒng)，由于不同OEM對(duì)其安全加固程度不同，也呈現(xiàn)出不同的安全特性。（1）WindowsPhone7平臺(tái)WindowsPhone7沒(méi)有繼承WindowsMobile的開放性，反而學(xué)習(xí)了iPhone的封閉性。在WindowsPhone7中，應(yīng)用程序商店Marketplace將會(huì)是WindowsPhone7移動(dòng)終端安裝應(yīng)用程序的唯一方式，不支持通過(guò)其他方式來(lái)安裝程序包。這將在一定程度上杜絕盜版軟件，吸引開發(fā)者。WindowsPhone7的應(yīng)用程序模型目前主要支持第三方應(yīng)用在前臺(tái)執(zhí)行，不完全支持后臺(tái)應(yīng)用，這樣能夠在一定程度降低系統(tǒng)風(fēng)險(xiǎn)（但第三方怎么攔截垃圾短信？）。從API開發(fā)層面來(lái)說(shuō)，WindowsPhone7缺省沒(méi)有讀取通話記錄、短信等的API，保護(hù)了用戶的隱私。另外發(fā)短信、打電話也需要用戶確認(rèn)，防止了惡意扣費(fèi)。WindowsPhone7沒(méi)有提供直接操作這些（SMS、Phone、E-mail、Camera）的API。但是這并不等于不能做，在WindowsPhone7中可以通過(guò)Task來(lái)調(diào)用系統(tǒng)的任務(wù)（就好比用戶手動(dòng)操作，因此需要用戶按鍵確認(rèn)）來(lái)完成。也就是說(shuō)，要打開系統(tǒng)的相關(guān)應(yīng)用才能撥打電話、發(fā)送短信、保存聯(lián)系人、拍照等。舉個(gè)發(fā)短信的例子，代碼如下：usingMicrosoft.Phone.Tasks;SmsComposeTasksms=newSmsComposeTask（）;sms.To="0123456789";sms.Body="Someprefilledtext...";sms.Show（）;執(zhí)行效果如圖4所示，只是彈出系統(tǒng)的短信框（即通過(guò)Task調(diào)用系統(tǒng)的短信應(yīng)用），并不能直接發(fā)短信，而是需要用戶的介入（點(diǎn)擊發(fā)送）。圖4WP7發(fā)短信（2） iPhone平臺(tái)iPhone從一開始就是完全封閉的，封閉有利有弊，對(duì)安全卻是有好處的。比如，iPhone缺省沒(méi)有讀取通話記錄、短信等的API，這保護(hù)了用戶的隱私；調(diào)用顯示用戶位置信息的API也會(huì)彈出提示信息。另外，iPhone也不允許使用API直接發(fā)短信和打電話，都需要用戶確認(rèn)，這樣間接減少了惡意訂購(gòu)和惡意話費(fèi)的風(fēng)險(xiǎn)。（3） Android平臺(tái)iPhone等平臺(tái)不提供程序直接發(fā)短信等功能的接口，避免了惡意訂購(gòu)等行為的發(fā)生。Android則把決定權(quán)交給了用戶，由用戶決定一個(gè)程序是否可以直接發(fā)短信。Android要求開發(fā)者在使用API時(shí)進(jìn)行申明，稱為permission。這樣對(duì)一些敏感API的使用在安裝時(shí)就可以給用戶風(fēng)險(xiǎn)提示，由用戶確定是否安裝。例如，要監(jiān)控是否有短信到達(dá)，需要在AndroidManifest文件中進(jìn)行如下設(shè)置：<manifestxmlns:android二/apk/res/androidpackage="com.google.android.app.myapp"><uses-permissionandroid:name=〃android.permission.RECEIVE_SMS〃/></manifest>但讓用戶承擔(dān)這個(gè)決策責(zé)任目前看來(lái)風(fēng)險(xiǎn)很大。用戶下載和安裝軟件時(shí)心情很緊迫，哪顧得上彈出來(lái)什么信息，通常都是直接點(diǎn)確定！而且，僅靠這些permission信息確定軟件是否是惡意的，也沒(méi)有太多依據(jù)。Android平臺(tái)是開放的，有好處也會(huì)有弊端。好處就是開發(fā)者自簽名就可以完成軟件的發(fā)布，用戶也無(wú)需一定到電子商城下載軟件，很多論壇都可以下載軟件。對(duì)應(yīng)的弊端就是這些軟件沒(méi)有經(jīng)過(guò)審核，可能會(huì)隱藏風(fēng)險(xiǎn)！Symbian平臺(tái)Symbian接口比較開放，只要申請(qǐng)到對(duì)應(yīng)的能力，就可以做對(duì)應(yīng)的事情。通常程序發(fā)短信、竊聽賬戶都很容易在Symbian平臺(tái)實(shí)現(xiàn)，無(wú)需高能力。代碼簽名是Symbian平臺(tái)的核心所在，不同的簽名賦予不同的能力。數(shù)字簽名主要有4種方式：自簽名(SelfSigned)、認(rèn)證簽名(CertifiedSigned)、快速簽名(ExpressSigned)以及開發(fā)商簽名(如SymbianSignforNokia)。如圖5Symbian把應(yīng)用程序的能力細(xì)分為20項(xiàng)，用分級(jí)簽名來(lái)限制應(yīng)用程序所使用的能力：能力類型4能力含耕指 逑4用戶能方4LccalS^tA'ices+JLocatiam-1Net^'orkSaviwWResdUssrData*-1UserEn^Ttoniiiam-1?用戶能力對(duì)手機(jī)用戶來(lái)說(shuō)是有意義的9?用戶能眺以一次性方式授予應(yīng)用程序使用這些能力的權(quán)限，這取決于設(shè)備制造商的安全策略4?所有簽名選項(xiàng)都可以便用這些能力『TPowerhlgnitPProtSsn'+JReadDSuiTcundinz-DD+JSwEvenl?-1TrustedUI+JWriteDevktDsta*3CcmmDD+-1DiskAiniLu*-1Netv^kCtmtrol+JKiultim^dtaDD^?保護(hù)文件系統(tǒng)、通信和多媒體設(shè)備服務(wù)的系統(tǒng)能力W?只有通過(guò)選項(xiàng)OpsnSt2n?d和CsrtifiedSimsd才能荻禪.這些能力4 " 」設(shè)備制造商能力WAllFih*DRAWTCB+j?可信的計(jì)算基節(jié)痢系統(tǒng)能力，它呆護(hù)靛感的系統(tǒng)服?只有通過(guò)選項(xiàng)OpsnSt2n?d和CsrtifiedSimsd才能荻禪這些能力！ '?需要荻將設(shè)備制造商的批準(zhǔn)4圖5Symbian能力分類細(xì)節(jié)Symbian系統(tǒng)如果申請(qǐng)到高權(quán)限，就具備高能力，具備了設(shè)備制造商能力就可以干任何事情。OPhone平臺(tái)的安全之路OPhone系統(tǒng)在不斷演進(jìn)過(guò)程中，也不斷發(fā)掘用戶的安全需求。如為了解決惡意訂購(gòu)、用戶隱私泄露的問(wèn)題。在OPhoneOS2.6中，將對(duì)新應(yīng)用安裝過(guò)程及敏感API訪問(wèn)過(guò)程進(jìn)行動(dòng)態(tài)監(jiān)控，提示用戶潛在的風(fēng)險(xiǎn)，允許用戶對(duì)應(yīng)用的訪問(wèn)權(quán)限進(jìn)行限制，避免了惡意軟件后臺(tái)發(fā)扣費(fèi)短信，竊取用戶通訊錄等行為！OPhoneOS2.6還支持應(yīng)用程序訪問(wèn)權(quán)限的細(xì)粒度控制技術(shù)。如圖6所示。權(quán)限管理禁止禁吐禁止禁止禁止該應(yīng)用在安裝時(shí)申諂了以下關(guān)建訪問(wèn)校眼權(quán)限管理禁止禁吐禁止禁止禁止該應(yīng)用在安裝時(shí)申諂了以下關(guān)建訪問(wèn)校眼權(quán)限設(shè)置C網(wǎng)絡(luò)通信3允許訪問(wèn)互聯(lián)網(wǎng)in手機(jī)通汛錄IB*允許讀取通訊錄?手機(jī)通話允許直接撥打電適.讀取手機(jī)短信f允許讀取短信_(tái)W發(fā)送手機(jī)短信f允許發(fā)送短信中國(guó)移動(dòng) 圓穆“III11:44fvl任務(wù)管理器L22J正在進(jìn)行的虱已連接USB調(diào)試選擇停用U5E調(diào)iE?USB已連接選擇將文件復(fù)制到計(jì)算機(jī)或從計(jì)算機(jī)復(fù)制到存…通知 清除尊SMSBomber監(jiān)測(cè)到正在送短信,...11:44務(wù)SMSBomber監(jiān)測(cè)郭正在送短信，...11:44圖6OPhoneOS2.6安全加固4、越獄（破解）到底為了啥首先可以肯定一點(diǎn)，越獄了啥都可以做，開發(fā)者可以做任何事，比如iPhone就可以直接程序發(fā)送短信。相對(duì)應(yīng)的就是惡意軟件也可以干任何事情。WindowsPhone7和iPhone的越獄目的很清楚，這兩個(gè)平臺(tái)接管了軟件入口，不允許用戶安裝其它來(lái)源軟件；另外就是部分用戶排斥到商店買軟件！比如有一款軟件ChevronWP7就可以破解WindowsPhone7，允許用戶不從應(yīng)用商店下載軟件而直接安裝。如圖7所示。

圖7ChevronWP7破解iPhone系統(tǒng)通過(guò)JailbreakMe2.0就可以完成越獄，主要是利用PDF中FlateDecode字體的漏洞實(shí)現(xiàn)的。用戶只需要輸/，根據(jù)向?qū)Ъ纯赏瓿稍O(shè)備破解，如圖8所示。Istheeasiestwaytotakeascreenshotofyourphone.Simpleshakeycurphoneanditjs^avedcoyourgallery.FromLhereernailIt,iFacebookit...what€vcr!JailbreakMebycomex(etal.)EasyRojCongraTs-Youarerncied-Youwil!needtorebootpnettmetoccrripret#thisprocess.LaunchthisaIstheeasiestwaytotakeascreenshotofyourphone.Simpleshakeycurphoneanditjs^avedcoyourgallery.FromLhereernailIt,iFacebookit...what€vcr!JailbreakMebycomex(etal.)EasyRojCongraTs-Youarerncied-Youwil!needtorebootpnettmetoccrripret#thisprocess.Launchthisapplk^tlonag^irtafterTherebaacandguwilltomestraighttothisscreen.AfterthathereareisomeapplKaEiansthatnniyworkonarooted,ph&nethatwewouldliketorecommendtoyou:JailbreaktogettweaksandappsApplewon'tallowintheAppStore.Free,legal,safe.YoushouldsyncwithiTunesbeforeusingthistool.MoreInfo?BusyBoxBusyEoxisasetofcommonUnixcommandsthslaren'tfoundonmoststockAndroidSetups.ManyjotherappiLcadonsrequireSusyBoxtorun,:[nsiallingthisapplicabanwillensureyoualwayshave(he血只verStan.Drocap2slidetojailbreak圖8JailbreakMe越獄 圖9EasyRoot破解Android系統(tǒng)由于是開放平臺(tái)，無(wú)論是開發(fā)者還是用戶都沒(méi)有破解的訴求。獲取Root權(quán)限（也即破解）主要是一些玩家和黑客。Android系統(tǒng)是基于Linux內(nèi)核構(gòu)建的，因此Root就是移動(dòng)終端的神經(jīng)中樞，它可以訪問(wèn)和修改移動(dòng)終端幾乎所有的文件。類比于Administrator是Windows系統(tǒng)中的超級(jí)管理員用戶，擁有最高的權(quán)限。所以很多黑客在入侵系統(tǒng)時(shí)，都想把權(quán)限提升到Root?，F(xiàn)在已經(jīng)有不少軟件直接安裝即可獲取Root權(quán)限。比如由UnstableApps公司開發(fā)的破解程序EasyRoot（如圖9所示），用戶只需單擊一下該程序的按鈕，即可獲得移動(dòng)終端的Root權(quán)限。Symbian平臺(tái)破解的主要訴求就是安裝一些未簽名軟件。原因就是Symbian發(fā)布軟件要簽名，要花錢，很多開發(fā)者共享了未簽名軟件；或者簽過(guò)名的軟件簽名過(guò)期了。HelloOX2軟件就可以破解Symbian的證書機(jī)制。5、 老革命遇到新問(wèn)題PC平臺(tái)的主流系統(tǒng)是Windows，以開放為主，功能非常強(qiáng)大。惡意軟件可以任意獲取管理員權(quán)限執(zhí)行，可以進(jìn)行各類惡意行為，如竊取口令、靜默安裝等。但現(xiàn)在手機(jī)系統(tǒng)，除了Symbian，其它系統(tǒng)如iPhone、Android很難進(jìn)行鍵盤監(jiān)控、模擬等危險(xiǎn)操作，除非寫一個(gè)輸入法。當(dāng)然，前提是系統(tǒng)不能被越獄。因此，產(chǎn)生了一些矛盾，Android等系統(tǒng)的設(shè)計(jì)者認(rèn)為手機(jī)在不越獄的情況下風(fēng)險(xiǎn)沒(méi)有那么大！因而沒(méi)考慮到手機(jī)上需要部署殺毒軟件！因此，沒(méi)有考慮到需要給殺毒軟件提供哪些接口?？v觀Windows的發(fā)展史也是如此！比如現(xiàn)在Android等系統(tǒng)的安全軟件就無(wú)法實(shí)現(xiàn)下列的功能：1） 無(wú)法網(wǎng)絡(luò)監(jiān)控 惡意軟件聯(lián)網(wǎng)時(shí)無(wú)法提醒（無(wú)法主動(dòng)監(jiān)控）；2） 無(wú)法實(shí)時(shí)監(jiān)控 只能軟件安裝完畢以后獲取通知消息，無(wú)法安裝前檢測(cè)；3） 無(wú)法殺毒 對(duì)惡意軟件無(wú)法查殺，只能彈出卸載框，由用戶卸載，無(wú)法直接清理?，F(xiàn)在有些惡意軟件已經(jīng)越過(guò)了設(shè)計(jì)者的假設(shè)（惡意軟件獲取不了Root），很多惡意軟件不光十壞事，而且迅速占領(lǐng)了制高點(diǎn)，利用漏洞獲取Root權(quán)限，結(jié)果是用戶不能卸載惡意軟件，殺毒軟件也無(wú)從下手。不少安全廠商給出的解決方案是讓用戶先越獄手機(jī)，然后殺毒。這樣的風(fēng)險(xiǎn)會(huì)更大！我們了解一下最近一個(gè)木馬利用漏洞Root后的情況：gainrootprivilegesthroughrootexploitinolderplatformreleases利用漏洞獲取Root；remount/systemread-writesystem目錄本來(lái)是只讀的，通過(guò)remount讓其可寫；這個(gè)目錄通常也預(yù)制一些系統(tǒng)自帶的程序，寫到這個(gè)目錄殺毒軟件無(wú)法清除；3.installanewAPKinto/system/app/把惡意軟件安裝到系統(tǒng)目錄。6、 移動(dòng)終端安全公司做什么？目前做移動(dòng)終端安全公司的產(chǎn)品主要圍繞著隱私保護(hù)、殺毒、反騷擾、防扣費(fèi)等功能展開。移動(dòng)終端安全公司的產(chǎn)品主要功能如圖10所示。功器，XLL7PersonalFitewalLInajmiugCallFiltsr、SMS可以過(guò)濾垃圾短信、過(guò)濾來(lái)電以及正數(shù)據(jù)包4VPW支持L2TP.PPIPXTN.SSLVPX、PSECVTN^抗病毒4殺毒P防漆『通訊錄取回功能”隱私信息遠(yuǎn)程刪除功能、暨控制功:能4WAPPush過(guò)濾4WAPURL過(guò)濾，對(duì)通過(guò)W.APPush下發(fā)的URL進(jìn)行過(guò)濾，防止用戶下載惡意URL漣接n『交件加密4本地交件加密4系統(tǒng)渣理，麻洞修復(fù)4清理垃圾信息，修復(fù)系統(tǒng)和應(yīng)用軟件漏洞4響一聲電話提醍4防止用戶回?fù)?，惡意扣費(fèi)『進(jìn)程攔芯-兢星監(jiān)控口進(jìn)程啟動(dòng)聯(lián)網(wǎng)時(shí)提示，防饋程悄悄聯(lián)網(wǎng)等行為。對(duì)上網(wǎng)流是進(jìn)行統(tǒng)計(jì)、告警4家長(zhǎng)控制『控制移動(dòng)終端行為妙上網(wǎng)網(wǎng)址，用于家長(zhǎng)控常!孩安全使用移動(dòng)魏端，防止訪問(wèn)不健康的信息『端口控制(PortCcntrcl)4嚴(yán)格統(tǒng)一堂蓮這些外設(shè)，設(shè)置其啟用或禁用。通過(guò)外設(shè)安全防護(hù)機(jī)制，可以實(shí)現(xiàn)時(shí)Fy謳g腿3LAN.Elug血，SD卡等外設(shè)的控制4增強(qiáng)認(rèn)證機(jī)制『指蚊認(rèn)證等手段，防止移動(dòng)弩端丟失導(dǎo)致信息泄露『圖10移動(dòng)終端安全公司的產(chǎn)品主要功能終端安全公司正在量力而行，根據(jù)系統(tǒng)給于他們的能力最大化安全措施！部分廠商也推出更強(qiáng)大的越獄版產(chǎn)品！7、移動(dòng)終端安全發(fā)展趨勢(shì)和解決思路1）發(fā)展趨勢(shì)移動(dòng)終端惡意軟件的行為分為下列幾類：（1） 聯(lián)網(wǎng)、發(fā)短信（惡意訂購(gòu)）。（2） 獲取本地信息：如通訊錄、通話記錄、短信內(nèi)容、本地文件、地理位置等信息。（3） 竊取賬戶：盜號(hào)軟件。（4） 消耗資源類：如不斷地尋找藍(lán)牙設(shè)備去傳播惡意軟件。（5） 破壞類：刪除本地文件、通訊錄、恢復(fù)出廠設(shè)置。如破壞5?？ㄉ习惭b的應(yīng)用程序，導(dǎo)致應(yīng)用無(wú)法啟動(dòng)。（6） 卸載安全軟件、自啟動(dòng)、難刪除、隱藏。從長(zhǎng)期來(lái)看，（4）、（5）兩項(xiàng)會(huì)逐漸消亡，畢竟是損人不利己的事情，以前很多人出于惡作劇才做了這樣的惡意軟件。以后最主要的移動(dòng)終端惡意軟件就是（1）、（2）、（3）三項(xiàng)。那么（6）就是移動(dòng)終端惡意軟件制作者和殺毒廠商的戰(zhàn)線，他們需要提高各自的戰(zhàn)斗力，相互博弈，防止被對(duì)方消滅。這也是殺毒廠商的主要的工作之一。2）解決思路智能終端面臨的風(fēng)險(xiǎn)和PC非常類似，主要的不同就是惡意訂購(gòu)。針對(duì)惡意訂購(gòu)，運(yùn)營(yíng)商建立了SP黑名單監(jiān)控管理制度。對(duì)于違規(guī)操作的SP進(jìn)行記錄備案，加大監(jiān)控力度，從根源進(jìn)行遏制。電信運(yùn)營(yíng)商已經(jīng)進(jìn)行了多次的大力整頓，效果明顯。另外一個(gè)有效的方法就是增加訂購(gòu)驗(yàn)證機(jī)制，訂購(gòu)時(shí)可以給用戶返回認(rèn)證碼。關(guān)于其他風(fēng)險(xiǎn)的解決思路，手機(jī)解決思路和PC的解決思路也非常類似。那就是殺毒軟件作為為輔助，敏感的業(yè)務(wù)如支付業(yè)務(wù)需要構(gòu)建自身的安全機(jī)制。比如在PC平臺(tái)，各商業(yè)銀行和騰訊、盛大、支付寶等機(jī)構(gòu)，為了應(yīng)對(duì)各種鍵盤竊取和信息篡改的手段，紛紛提出了保障方案，主要包括USBKey、動(dòng)態(tài)口令卡、安全控件、動(dòng)態(tài)軟鍵盤等。同樣的思路可以復(fù)制到手機(jī)上，目前針對(duì)手機(jī)安全支付市場(chǎng)上已有一些產(chǎn)品，如動(dòng)態(tài)口令卡以及安全SD卡等。如圖11為智能SD卡的架構(gòu)。圖11SD卡架構(gòu)智能SD卡不同于我們常見的SD存儲(chǔ)卡，除了攜帶Flash用于存儲(chǔ)功能外，還帶有一個(gè)智能卡芯片，可以完成數(shù)字簽名等操作。8、開發(fā)者最需要什么？賺錢！還有一類特殊的用戶一開發(fā)者，他們也關(guān)注終端風(fēng)險(xiǎn)，但他們更關(guān)注他們的應(yīng)用能否賺錢。電子市場(chǎng)尤其是AppleAppStore的成功，極大的刺激了開發(fā)者的熱情。但如果軟件可以被復(fù)制，比如軟件被復(fù)制到另一個(gè)終端直接使用（比如一個(gè)人購(gòu)買，億萬(wàn)人免費(fèi)使用），則可能損害開發(fā)者的利益，影響電子市場(chǎng)的繁榮。蘋果在這個(gè)問(wèn)題可謂是絞盡腦汁，iPhone上的軟件都是通過(guò)AppStore安裝的，無(wú)法直接看到安裝文件，或者通過(guò)越獄后看到安裝文件，這些安裝文件也是被DRM保護(hù)的。但依然沒(méi)有防住破解者，軟件Peodcrack就可以用來(lái)分享花錢買的正版軟件，該軟件可以把從AppStore下載的軟件打包到本地進(jìn)行傳播。Android系統(tǒng)也在不斷進(jìn)步，如Android的版權(quán)保護(hù)技LicensingYourApplications。圖12是版權(quán)保護(hù)服務(wù)的示意圖，第三方App可以在應(yīng)用內(nèi)部調(diào)用Google提供的LVL（LicenseVerifyLibrary，許可驗(yàn)證庫(kù)），LVL運(yùn)行于第三方App的進(jìn)程中，它負(fù)責(zé)跟本地MarketApp（Google提供的認(rèn)證客戶端，用戶只需安裝到手機(jī)即可）進(jìn)行IPC（進(jìn)程間通信），而MarketApp負(fù)責(zé)跟遠(yuǎn)端的MarketLicenseServer進(jìn)行網(wǎng)絡(luò)通信，查詢認(rèn)證信息，然后返回給LVL。最后第三方App里的Activity可以獲得認(rèn)證的結(jié)果并自行決定應(yīng)對(duì)措施，比如驗(yàn)證不通過(guò)則限制功能、直接退出等?？梢愿鶕?jù)應(yīng)用的類型、面向的用戶等來(lái)自行決定。當(dāng)然，借助于MarketLicenseServer,還可以實(shí)現(xiàn)更細(xì)致的策略，如允許應(yīng)用免費(fèi)使用幾次等。圖12Android版權(quán)保護(hù)架構(gòu)版權(quán)保護(hù)的原理很簡(jiǎn)單，就是下載應(yīng)用時(shí)GoogleMarketLicenseServer保存你下載的應(yīng)用ID和設(shè)備ID，然后下載安裝以后每次應(yīng)用啟動(dòng)時(shí)會(huì)通過(guò)和MarketLicenseServer交互從而確認(rèn)你的應(yīng)用是否合法。交互的內(nèi)容依然是應(yīng)用ID和設(shè)備ID，GoogleMarketLicenseServer會(huì)校驗(yàn)?zāi)愕膽?yīng)用ID和設(shè)備ID，看該設(shè)備是不是注冊(cè)使用該APP，如果非法復(fù)制