王 浩，白 鹏

(山西省自动化研究所，山西 太原 030006)

0 引言

智能设备在移动互联网时代是必不可少的，功能也从最开始的打电话、发短信转变为现在主流的移动支付、移动办公、通讯服务等功能的产业链。科技的发展也是一把双刃剑，智能机给人们带来更好的功能体验的同时，也带来了更加严重的安全保密隐患。用户的私密信息可能遭到泄露，且一些基于收费的软件可以自动拨打或悄无声息用发短信的方式来新增一些付费增值服务，用户可能在毫不知情的情况下使用一些付费增值业务，致使用户的手机账单日益飙升，给用户带来不可预估的损失；甚至泄露的那些信息有可能是重要的商业信息，更甚至泄漏的是国家安全信息，这无疑是用户、企业、乃至国家在这信息时代的重大的安全隐患。因此，Android移动设备的安全防护研究迅速成为Android平台发展方向的一个重要组成部分。

随着Android系统的普及，恶意软件的威胁将日益凸显，据悉，在所有手机平台恶意软件中，Android平台的恶意软件份额已超过46%，并且呈迅速增长趋势。在另一份报告中，发出警告说，自2010年夏季以来，Android恶意软件增长了400%[1]。

通过调研表明智能设备的信息安全隐患有如下几方面[2]：

1) 智能手机硬件存在漏洞。用户在输入密码或在通话时黑客可以通过手机的触摸屏输入，内置芯片等轻松的盗取用户隐私信息。

2) 智能手机App存在很大的风险。智能手机市场快速发展的同时，给用户带来了数之不尽的App，随之而来的病毒、恶意软件等会通过更加隐蔽手段未经允许的访问和窃取到用户的手机私人信息。

3) 云计算、云平台存在信息安全威胁。用户使用云计算等服务，对用户的信息安全产生重大挑战。

1 Android智能手机可能的安全问题

1.1 当前手机面临的主要威胁

由于Android特有的开放性等特点，存在以下主要的安全威胁[3]：

1) 恶意软件：窃听、流氓软件、手机木马等软件攻击。现在全世界已经发现的恶意软件达700多种，且数量还在快速的增长。这些快速增长的恶意软件会给拥有智能手机的用户带来很多安全隐患：会私自实现订购服务，发送批量消息，并在用户不知情的情况下执行恶意付款，从而给用户造成经济损失；某些恶意软件会根据手机通讯录中的列表发送垃圾邮件或传播病毒，这将会损害用户的信用；某些恶意软件甚至会损坏手机硬件，导致手机运行缓慢，崩溃甚至彻底损坏。

2) 恶意骚扰：骚扰电话，垃圾邮件等。由于用户普遍携带手机，所以手机恶意骚扰对用户影响较大。如今4G网络的高带宽为恶意骚扰提供了便利，移动广告的内容和呈现的方式也日益多样化。随着社会的进步，各种资源越来越便宜，但是人们的关注资源越来越昂贵，手机也因其特有的特点，已成为抢夺人们关注资源的最佳途径之一，因此恶意骚扰是智能手机用户不得不去面对的问题。

3) 隐私泄露：智能手机正快速成为用户的信息和计算中心，用户将在智能手机上存储越来越多的个人隐私信息。如果个人信息被泄露，则对用户的损失是不可估量的。从传播渠道来看，目前的恶意代码可以通过红外线、蓝牙、短信、彩信、无线上网、电脑线、手机存储卡等方式进行传输个人的隐私信息。

1.2 Android智能手机可能受到的攻击方式

安卓手机上的恶意软件攻击方法主要包括以下几种[4]：

1) 基于硬件的攻击。由于硬件的通用性，因此在最高操作权限方面有一定的漏洞，况且在手机使用过程中几乎不能对硬件进行相关的升级和维护，因此当硬件防御难度增加，受到攻击时危害更大。

2) 基于Linux内核的攻击[11]。Linux内核的安全性存在很大的隐患。经过数据分析，每年有近百个Linux系统的安全漏洞被挖掘[8]。非法用户利用这些漏洞，进一步的可以获得安卓系统的根权限，然后实施一些非法攻击。另一方面，由于Linux内核的高配置性，在手机的硬件资源较少的情况下，一些厂商为了减少手机内存的消耗，一些安全配置的选项经常被厂商禁用。

3) 基于System核心进程的攻击。Android系统的核心程序依赖系统本地库、基础的Java类库、以及Java虚拟机。系统本地库主要包含一些底层的API和一些较复杂计算函数等，但由于这些方法的编写是使用的底层的C/C++，因此就缺少了类似java的强制性安全机制，系统内存空间被侵占或被恶意代码执行的风险成指数倍增长。由于核心程序的开源性，默认都能获取系统的较高权限，因此更多的攻击者将目标转向了系统核心进程。

4) 基于手机App的攻击。用户根据个人的喜好选择并安装一些手机App，很多的App都会提示用户获取一些权限，这使得手机App成为攻击者的首选目标。然而在手机App安装过程中，大部分用户缺乏相关的安全意识，因此也无法识别哪些是恶意程序，直接赋予其权限，这将极大地削弱应用程序的权限控制。

2 安全防御技术研究

2.1 Android平台的手机信息安全的需求分析

Android系统本身也存在很多的安全隐患，大概归纳为以下几个要点[5]：

1) 基于Android平台的安全特性分析力度不够

Android系统的安全机制依赖于Linux和Android的安全机制，Android系统继承了Linux系统安全机制，在此基础上又结合自身的优势研发了相关的权限审核机制、签名机制等一系列的安全防御措施。虽然已经有了很大的进步，但对Android系统可能存在的漏洞挖掘和安全威胁性的探究还差很远。

2) 基于Android平台的特征内容收集不够

首先说明，此处说的特征内容指的是恶意软件或病毒与正常软件App之间的差异。只要利用好这些差异，就可以区分哪些是病毒或恶意代码，哪些是正常的手机App。

如果能充分利用Android系统中的某些更多潜在特征内容，就能够在系统安全性等方面取得突破性的进展。此处举个实例加以说明，某一款视频播放器App请求赋予通讯录的权限，根据理论上的分析则可以推断出该App的请求是可疑的，进而再经过深层次的分析与对比确认这个App是否已经被感染。站在动态角度分析，基本上所有的恶意代码或病毒会在后台收集用户信息并静默打包发送，若是正常的App是没有该行为的。因此，通过对后台程序行为的监控与分析，一旦发现某个后台程序有类似行为，就可把该程序认为是可疑的。但是目前威胁的特征收集由于人力物力的原因还不够，而且随着时间推移，这个特征也在不断的变化中，这无形中增加了收集特征的难度。

3) 行为监控的审计不够

行为监控是一种监控和检测系统中程序行为的统称。大多数恶意行为区别于正常App的是未经用户授权时执行的。所谓的行为监控技术大多是通过对回调函数、基础函数的调用或拦截以及通过识别和控制某些行为模式然后加以分析实现的。但行为监控在实际操作中增加了程序内存访问量，且审计的力度不够，这便避免不了不少很多手机隐患。

2.2 恶意代码检测和防御技术研究

国内外对Android平台的安全防护的研究可以归纳为二大类：

一类是分析恶意软件，然后在受到攻击之前破解恶意代码并及时处理，从而达到对隐私信息保护。

另一类则是对Android系统安全性的研究，从底层角度来加强操作系统的安全级别[6]。

主流的对手机恶意软件App的分析是静态分析和动态分析互补的结果。全球重要的杀毒防护软件厂商，无论是国内腾讯管家、360安全套装、金山毒霸套装、网秦防护，还是国外的卡巴斯基和McAFREE目前都采用了“云杀”的方法。也就是说，Android手机通过和防护软件厂商云服务器的对接，从而对病毒、恶意程序和其他安全威胁的检测，对比其云安全服务器集群中的恶意软件和云数据库，进一步确认平台的安全性。但是这样的分析方式还有很大问题，大部分手机恶意软件的分析都是通过手动分析完成的，这消耗了巨大的人力、物力和财力[10]。

另外，国内著名厂商均在 Android 平台的安全性防御上，采取了不同的方式，可归结为以下几个方面。

1) 访问控制

众所周知Android系统是基于Linux内核研发的操作系统，因此可从增强Linux内核级别的角度来加强(如Trust-Droid项目)访问控制。此外，Android框架组件之间也有数据访问，可以增强组件之间的访问控制(如XManDroid项目)。恶意代码和病毒代码的传播首先必须具有一定的访问权限才能达到访问和破坏其他程序与文件的目的，恶意代码达到其目的可能需拿到更高的权限，因此在Android系统中使用数据和重要功能时，应用程序必须具有适当的操作权限。如果能够对访问程序的权限有效的控制，尽量赋予其只能完成其正常工作的最小权限，即使该程序中可能含有恶意代码，也可以降低该恶意代码执行程度，从而达到一定的防护[7][9]。

2) 基于签名的恶意代码静态检测技术

与PC上的软件签名机制类似，签名机制也可以用作针对移动平台上的恶意软件的保护措施。使用签名机制可通过对恶意软件的分析从而提取恶意软件的签名。在系统平台进行防护时，将每个软件的签名与已知恶意软件数据库的签名进行比较。这意味着检测到的软件如果包含恶意软件数据库内的任一个的签名，则可确认其是危险的。此方法虽然简单高效，但缺乏对未知恶意软件的检测。若恶意软件将自己的签名进行某种变形或伪装，则无法以这种方式判断。

3) 基于行为的恶意代码动态检测技术

基于行为的恶意软件动态检测技术通常是在这些模拟环境中运行的。通过对程序行为的监听与分析，判断程序是否属于恶意程序。由于动态行为检测方法的实际操作是在模拟环境中执行的，因此准确性很高。但是这种方法的缺点也很明显，在对软件行为的分析需要消耗大量的资源。如何通过对程序行为分析，自动运行待检测的程序并确定其恶意程度，也是动态监控需要解决的问题。

4) 数据标记

据相关报道，研究人员提出了Taint-Droid方法以研究私人信息的泄漏途径，这是一个在Android平台上实时监控私人信息的项目。

5) 安全域分割

根据程序的功能性、重要性等多个因素对其进行分类，为每类程序设置一定的安全级别，然后统计这些安全级研究其相关的安全策略。从而形成安全权限的梯度模型，由外围到中心域的安全等级逐渐升高，因此位于中心域中的程序具有最高的权限。但这只能对单方向限制恶意软件，处于同一级别的安全域若存在恶意软件则没有设置额外的防御措施。

6) 系统增强

除了以上五种安全强化方法外，还要对Android系统的安全性进行更深层次的改进，例如SEAndroid安全机制和 L4Android安全机制[12]。

3 结束语

本文分析了Android智能手机的信息安全的特点,综述了Android智能手机的主要威胁和可能面临的攻击方式，简述了目前Android平台的手机信息安全的需求分析，阐述了恶意代码检测和防御技术。