摘 要

近年来,以智能手机及其周边设备为代表的智能移动终端迅速普及,但涉及智能移动终端信息安全问题的相关报道也呈现上升趋势。通过以当前智能移动终端与信息安全发展现状为出发点,梳理智能移动终端信息安全功能的发展历史,总结平台结构的主要特征,论述了智能移动终端信息安全风险现状及对策,展望未来信息安全风险的研究方向。

内容目录:

1 智能移动终端的信息安全防护机制

1.1 硬件端的安全防护机制

1.2 操作系统的安全防护机制

1.3 应用程序的安全防护机制

2 智能移动终端平台结构的主要特征

2.1 SoC 性能不断提升

2.2 软件发布和开发环境趋向一元化

2.3 基于智能手机的周边设备发展迅速

3 智能移动终端信息安全风险现状及对策

3.1 硬件设备的风险与对策

3.2 软件系统的风险与对策

3.3 操作使用的风险与对策

4 结 语

信息安全风险是指在信息化建设中,各类应用系统及其赖以运行的基础网络、处理的数据和信息,由于其可能存在的软硬件缺陷、系统集成缺陷等,以及信息安全管理中潜在的薄弱环节,而导致的不同程度的安全风险 [1]。当前,以智能手机及其周边设备为代表的智能移动终端迅速普及,正逐渐替代个人计算机成为用户连接互联网的主要终端设备。在经济、社会和文化等领域中,智能移动终端作为各种信息交互的载体,给用户带来便利服务的同时,也带来了很多信息安全风险。近年来,通过各类研究发现,智能移动终端面临的信息安全风险正在不断加剧。

智能移动终端的信息安全防护机制

合理的信息安全机制可以有效提高智能移动终端的信息安全性,最大限度上保护用户的个人隐私。从功能结构上,可以分为硬件端、操作系统和应用程序 3 个层次。

1.1 硬件端的安全防护机制

通信运营商在确定智能移动终端的各类规格参数后,由设备运营商负责向设备制造商提供安全功能需求,以保障应用程序与各设备的适配性。一方面,设备制造商需要基于设备自身参数,参考来自通信运营商提供的信息安全机制,选择对应所需安全强度的协议与安全机制;另一方面,产品运营商在没有通信运营商介入的情况下,可以通过设备制造商提供的硬件参数标准,审查软件运营商在该设备应用商店中发布的应用程序。虽然设备制造商提供的应用程序标准不同,但通过使用操作系统(Operating System,OS)供应商提供的应用程序接口(Application Programming Interface,API),各应用程序的运行安全可得到有效保证。然而,设备运营商可能无法掌握各种设备中包括硬件信任根(Root of Trust,RoT)等在内的全部安全功能来保证应用程序操作的适配性。因此,设备运营商可通过添加保密安全模块的方式,为智能移动终端提供特定应用程序与硬件适配的信息安全功能。可以认为,在为智能移动终端提供应用程序和服务时,设备运营商管理的关于安全请求和应对方法将变得越来越复杂,对应领域将变得越来越广泛。

1.2 操作系统的安全防护机制

智能移动终端的操作系统是管理和控制手机硬件与软件资源的核心控制系统。目前,市面上使用最多的移动操作系统是谷歌安卓Android 和苹果 iOS。Android 系统是由谷歌公司开发的以 Linux 为核心的开放式操作系统,其特色的安全机制是数字证书机制。数字证书机制要求应用程序在正式发布时必须具有数字签名,而签名需要利用开发者的私钥生成数字证书来实现。已签发的数字证书是有有效期限的,过期的证书会导致应用无法安装。Android 系统通过数字证书来确认不同应用是否来自同一开发者,规定只有通过签名的应用才能被安装。iOS 系统是由苹果公司开发的以 Darwin 为基础的移动操作系统,其特色的安全机制是沙箱安全机制。沙箱安全机制要求所有第三方应用程序都需要使用应用开发者的账号进行签名,而该账号都是通过苹果官方实名认证审查的账号,来源透明可靠,从源头上保证了程序的安全性。此外,开发者在开发应用程序时只能使用苹果公司提供的加密软件开发工具包(Software Development Kit,SDK),能限制开发者开发危害手机安全的应用程序,相对于 Android 系统的安全性能更高。

1.3 应用程序的安全防护机制

在智能移动终端上,应用程序的安全机制是由应用程序开发人员结合操作系统的特性实现的,可以有效保证应用程序在用户使用过程中的安全性。根据功能特点,可将应用程序的安全机制分为 7 类,如下文所述。(1)可移植操作系统接口(Portable Operating System Interface,POSI)机制。主要功能是使每一个应用程序关联一个唯一的用户 ID。(2)文件访问控制机制。主要功能是使每一个应用程序的路径只能被应用程序自身访问。(3)内存管理机制。主要功能是使应用进程只能运行在自己所拥有的虚拟地址空间内。(4)强制安全检查机制。主要功能是在编译和运行应用程序时用一个特定的格式对变量的内容进行强制性安全检查。(5)权限控制机制。主要功能是使每个应用程序在安装时都必须声明其所需要的权限。(6)组件封装机制。主要功能是生成每个应用程序对应的优先级别,该级别可用于比较应用程序的优先顺序。(7)签名机制。主要功能是使开发者对自己所开发的应用程序进行签名。

智能移动终端平台结构的主要特征

为进一步研究智能移动终端的信息安全风险,合理预测信息安全风险的发展趋势,有必要了解智能移动终端平台结构的主要特征,根据近期智能移动终端的发展情况,可梳理总结为下述 3 点。

2.1 SoC 性能不断提升

当前智能移动终端平台在硬件方面普遍采 用 高 性 能 系 统 级 芯 片(System-on-a-Chip,SoC)。目前,在设备集成工艺中,将中央处理器(Central Processing Unit/Processor,CPU)、随机存取存储器(Random Access Memory,RAM)和图形处理器(Graphic Processing Unit,GPU)等集成在一个核心芯片的方法已成为主流。因此,基板集成与能耗降低成为各大芯片设备制造商的产品规划目标。近年来,从高端到低端设备,基本设计共通的 SoC 产品线不断标准化、流程化。其结果是,高性能 SoC 通过量产降低成本,各设备厂商开发的各型号智能设备均搭载通用的 SoC。另外,作为面向智能移动终端的SoC 的派生形式,面向平板电脑、游戏主机和可穿戴周边设备等智能设备的 SoC 标准也逐步向智能手机看齐,其性能也随芯片集成技术的发展而不断提升。但若 SoC 标准存在漏洞,则黑客可直接利用该漏洞对设备信息安全造成威胁,如早期任天堂(Nintendo)的 Switch 就因为搭载了存在漏洞的英伟达 GPU 芯片而遭到黑客的大量破解,造成不可估量的经济损失。

2.2 软件发布和开发环境趋向一元化

在智能移动终端中,采用从 OS 供应商运营的应用商店中集中获取应用程序的形式已成为加强设备安全与保证用户隐私的有效手段。应用程序开发者在发布应用程序 App 后,用户可以通过 OS 供应商运营的应用商店下载 App。这类 App 在应用程序开发过程中,OS 作为平台可以吸收各设备硬件的差异,向应用程序服务开发者提供统一访问方法和控制方法的 API。使应用程序的开发者在短时间内开发出可以在许多种类设备上运行的应用程序,而无须考虑各个设备的内部结构。同时,每个 App 在应用商店上架前,应用程序的开发者必须与设备生产商签订第三方安全协议,从供应端增强了信息安全防护能力。

2.3 基于智能手机的周边设备发展迅速

随着智能手环、智能眼镜等新型可穿戴智能设备进入我们的生活,以智能手机为中心节点的智能家居可通过手机 App 实现复杂的控制功能。在硬件方面,SoC 供应商以面向智能手机开发的 SoC 为基础,正在开发面向各种智能设备的新 SoC。届时,将沿用面向智能手机 SoC 的基本设计,使性能和耗电量符合各周边智能设备的需求。使开发出来的新 SoC 与智能手机一样,可以面向各公司的智能设备提供合适的统一标准。在软件方面,OS 供应商针对面向智能手机的 OS,根据各智能设备的画面和操作特征扩充了功能。应用程序的发布与面向智能手机的应用程序商店相通,即使是对应用程序的开发也可以在同一环境下进行,不仅提高了开发效率,还缩减了时间成本。但对于以上设备的信息安全防护尚未有统一的标准,控制失灵、隐私信息泄露等风险仍在很大程度上威胁着用户的信息安全。

智能移动终端信息安全风险现状及对策

结合智能移动终端的安全防护机制,基于智能移动终端平台结构的主要特征,可从硬件设备、软件系统和操作使用 3 个方面总结当前智能移动终端信息安全的风险现状,并有针对性地研究,提出防范对策。

3.1 硬件设备的风险与对策

智能移动终端一般在出厂前通过设置硬件RoT 来防范因漏洞攻击导致的软件一致性缺失。例如,作为检测软件篡改的功能,会先进行安全引导。在安全引导中,可通过验证电子签名确认设备启动时读取的软件是否被篡改。在包括硬件 RoT 的智能设备中,用于验证数字签名的密钥被存储在设备的硬件中,这样就可以保护密钥免受被篡改后的软件盗取密钥等攻击,从而增强安全引导功能。硬件 RoT 的实现主要包括将 SIM 卡安装在终端上使用和配备专用芯片等方法,但主流多采用在 SoC 中集成硬件 RoT功能的方法。

为帮助用户进行数字版权管理(Digital ights Management,DRM),保护敏感数据,可采用可信执行环境(Trusted Execution Environment,TEE)技术。该技术是集成在面向智能移动终端的 SoC中的特色安全功能之一。基于 TEE 的技术原理,可在存储器中对展开程序的执行空间进行分割,生成运行普通 OS 和应用程序的富执行环 境(Rich Execution Environment,REE) 空 间与运行要求更高安全性认证和加密功能的 TEE空间,这种划分是通过硬件访问控制机制实现的。在 TEE 空间中运行的可信应用程序(Trusted Application,TA)可通过 DRM 功能保护数据的解码,在 REE 空间中运行应用程序的密钥管理、认证和结算数据生成等功能。另外,基于 TEE的空间分离技术也可以用在智能移动终端配备的传感器上。例如,可以采用将指纹数据读取设备仅连接到 TEE 空间配置的方法,达到保护采集的生物数据和认证逻辑的效果。

3.2 软件系统的风险与对策

由于智能移动终端的应用程序可以从非官方渠道获取后运行,恶意代码可能作为应用程序的一部分被安装到设备上。为了处理个人信息和位置信息等敏感数据,设备生产商从设备出厂前就在 OS 中加入了安全功能。在早期面向智能移动终端的操作系统中加入了控制应用权限的功能和分离应用之间通信的机制。但需要注意的是,部分恶意软件可利用 OS 运行中的部分缺陷和脆弱性窃取设备敏感信息。用户为了避免部分应用的功能限制,会通过开放部分功能权限等方式尝试篡改设备初始设定,因此,OS 中的安全功能会因用户篡改而失效,故安全防护效果具有一定局限性。具体而言,应用程序的权限在其程序内部已被定义,在安装或运行时,若能得到用户的同意,该权限将被 OS 开放给应用程序。

为此,可禁止运行的应用程序之间直接通信,通过操作系统或使用限定可执行权限的沙箱等方式来降低恶意软件造成的损失。同时,从 OS 层面上对用户限定能够访问的文件系统或变更设定的权限范围,使不具备相关安全知识的用户不会因误操作而使设备处于危险状态。综上所述,为提高操作系统的安全性,各设备可不再将安全对策委托给用户,而是通过 OS 供应商实现信息安全对策的功能机制。

3.3 操作使用的风险与对策

用户在操作使用智能移动终端时出现的信息安全问题主要与用户的安全防护意识不强有关。由于用户数字证书机制无法完全限制恶意程序的开发,使用户往往无法区分恶意程序和正常程序,在进行操作时会给予程序申请的所有权限,产生安全隐患。例如针对开源的浏览器引擎 WebKit 的攻击和中间人攻击(MITM)等,都是基于用户不当操作而对应用程序发起的攻击,由于此类攻击成功率较高,已逐渐成为攻击者频繁利用的手段。

为降低对智能移动终端操作使用的风险,除增强用户安全防护意识外,还可从以下几个方面加以防范:(1)避免连接使用未知安全风险的 Wi-Fi,不点击陌生短信链接;(2)尽量在官方应用商城下载 App,若下载来自第三方应用程序商店的 App,在安装前需谨慎考虑其安全性;(3)当有应用程序请求授权时,需详细阅读其请求授权的内容,防止开放多余权限;(4)安装良好声誉且有效的安防软件,定期进行病毒查杀;(5)在官方维修店维修设备,同时避免进行 Root、刷机、越狱等操作。

结 语

在大数据时代背景下,智能移动终端已成为人们日常生活中不可缺少的组成部分,保障信息安全已成为当下技术发展的重要课题。我们不仅要对信息安全风险的现状进行深入研究,还应与时俱进,着眼于未来发展,结合智能移动终端的各类特征做好信息安全的风险评估工作与防护策略,才能在出现问题时及时响应,将风险降到可控范围内,确保用户的信息安全。

引用本文:杨刚 , 叶军 , 杨柳 , 等 . 智能移动终端信息安全风险现状与展望 [J]. 信息安全与通信保密 ,2022(2):17-22.

作者简介

杨 刚,男,硕士,工程师,主要研究方向为网络安全风险评估;

叶 军,男,硕士,高级工程师,主要研究方向为信息网络安全;

杨 柳,女,学士,助理工程师,主要研究方向为现代信息保密技术;

冯克涛,男,硕士,研究实习员,主要研究方向为网络安全防护。

选自《信息安全与通信保密》2022年第2期(为便于排版,已省去参考文献)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。