Perface
上一篇我们知道了对于终端的威胁主要来自三个层次。
《移动互联网恶意代码描述规范》将个人用户的移动终端面临的安全风险分为恶意扣费、隐私窃取、流氓行为、资费消耗、系统破坏、远程控制、诱骗诈骗、远程传播8类。
据360互联网安全中心发布的《2015年中国手机安全状况报告》指出,2015年360互联网安全中心累计截获Android平台新增恶意程序样本1874.0万个,分别是2013年、2014年的27.9倍、5.7倍,平均每天截获新增恶意程序样本高达51342个;
Android用户感染恶意程序3.7亿人次,分别是2013年、2014年的3.8倍和1.1倍,平均每天感染量达到了100.6万人次;
在所有手机恶意程序中,资费消耗类恶意程序的感染量仍然保持最多,占比高达73.6%,其次为恶意扣费(21.5%)和隐私窃取(4.1%)。
从系统角度来看,移动智能终端信息安全是从终端到云端、从硬件到软件的系统化需求,来自移动互联网的安全威胁源于产业链各个层面,需要产业链各方的共同努力。
未来将从硬件层、操作系统、应用软件、云端服务、移动网络五个方面分析一下潜在的威胁。
前面先让我们花几篇文章,从架构和概要上了解一下这几个方面,后续再分别详细的对其进行展开讲讲。
今天是硬件层与操作系统概述!!!
1、硬件层安全威胁
硬件层安全威胁来源于终端芯片设计安全漏洞或终端硬件体系安全防护不足等方面。
终端芯片等核心硬件器件不可避免地存在已知或未知的安全漏洞,可能导致平台安全权限被获取,或芯片中存储的隐私数据被窃取等。
如安全专家在“黑帽2014大会”的发言中提到高通骁龙处理器存在严重的安全漏洞。只要通过一些技术手段,任何人都可以利用该漏洞来攻破DRM(Digital Rights Management,数字版权管理)方案,可能导致敏感资料泄露。高通目前也已对外承认了该漏洞的存在。2016年1月,安全研究者Justin Case在社交网络上公布,部分使用MTK芯片的Android智能手机和平板电脑存在一个安全漏洞,容易被恶意应用利用而轻易获取系统root权限。
终端芯片的漏洞修复依赖于芯片厂家。事实上,终端关键芯片的核心技术大多掌握在国外公司手中,这使涉及国家命脉行业和领域的智能终端安全状况极其尴尬。毕竟,参照美国政府要求苹果公司开放后门以备监管的案例在前,很难确定芯片中是否同样存在类似的“后门”。因此,在国家命脉行业中推行芯片国产化变得尤为重要。
(国产芯片冲)
相较于软件开放编程的特性,硬件的安全设计让用户更能感受到安心和安全。
推广可信的硬件平台,在移动终端级芯片部署必要的安全策略,确保终端内的系统程序、应用程序、配置参数、用户信息不被篡改或非法获取,对整个移动终端的安全起到基础作用。(OTP、KeyLadder)
目前,面向公众用户的终端硬件设计相对已趋于成熟,但针对移动办公或国家命脉行业的应用需求,当前的硬件设计水平还不能满足其安全需求,提升终端硬件安全防护设计水平可以有效防范更多的安全威胁。
2、操作系统安全威胁
智能终端操作系统是管理和控制终端硬件与软件资源的程序,硬件资源的调度使用及任何软件都必须在操作系统的支持下才能运行。
操作系统的功能包括管理系统的硬件/软件及数据资源、控制程序运行、提供人机交互界面、为其他应用软件提供支持等,让终端所有资源协同发挥作用,为第三方软件的开发和运行提供服务和接口支持等。
智能终端是一个包含丰富硬件和支持丰富软件的复杂系统。
其硬件资源有:通信设备(蜂窝移动通信设备、无线局域网通信设备)、终端信源传感器(麦克、摄像头、陀螺仪、定位导航系统)、终端输入输出设备(红外线接口、蓝牙、USB接口、SDIO接口)、数据存储(机身存储、外置存储卡)等。软件则包括操作系统提供的基础应用,包含基础通信服务软件(电话号码本、通信记录、短消息、电子邮件等)、系统管理软件(系统设置、文件管理、日程管理等),以及相关的各种第三方应用软件。
智能终端操作系统作为一个软件系统,不可避免地存在漏洞问题。漏洞可能导致终端无法正常运行,有些缺陷可能会造成终端管理权限被非法获取或者安全防护措施被绕过,会降低产品安全性并导致严重的安全问题。阿里安全《2015年第三季度移动安全报告》显示2015年前3季度监测的Android系统漏洞97个,同比上涨781%, iOS系统漏洞579个,同比上涨101%。
除操作系统自身技术限制带来的安全风险,不正确地使用操作系统也会引入更多的未知风险,如在系统更新升级时使用未经官方认证的第三方系统,有被植入恶意代码的风险。
从国家信息安全的角度,还应加大自主产权智能终端操作系统的研发和推广工作。
2.1 iOS系统安全分析
iOS是苹果公司主导的终端操作系统,凭借其出色的稳定性受到众多果粉用户的青睐。iOS系统的闭源策略使对其安全机制的深入了解变得相对困难,因此iOS系统相对更安全。
更主要的是,iOS系统的应用商店AppStore在iOS应用体系中有着极强的控制力,整体应用质量和可靠性相对较高,给用户带来了较高的用户安全体验。但不可避免地,iOS系统同样面临着严重的安全威胁。
(1)系统漏洞
最典型的利用iOS系统漏洞的场景是iOS越狱,而尴尬的是,iOS越狱是相当一部分用户主动选择的行为。
开发者利用系统漏洞绕开iOS针对签名检查等安全机制的限制,完成“越狱”行为。
Untethered Jailbreak(完美越狱)需要多个iOS漏洞的配合,典型的越狱漏洞组合利用流程是:沙箱逃逸完成文件注入,绕过签名检查,最后利用内核漏洞完成内核代码修改进而关闭iOS的安全机制。
1)文件注入漏洞
在越狱前,通过iOS文件注入漏洞,把目标文件加载到iPhone设备上。如DDI(Developer Disk Image race condition,开发者磁盘映像的竞态条件)漏洞,在检查签名之后和挂载之前,替换正常的磁盘映像,从而实现文件的注入。在最新的iOS 9完美越狱上,使用了一种全新的文件注入方式,直接在沙箱内通过IPC完成了对任意目录的文件注入。
2)沙箱任意代码执行漏洞
2015年,CVE-2014-4492漏洞细节被披露,其服务端存在于networkd进程,通过IPC实现沙箱与该进程通信,该服务中的通信处理函数没有对xpc_data对象进行类型校验,进而直接调用xpc_data_get_bytes_pointer,而是通过传入其他类型数据混淆,以及fake object构造,最终控制PC并执行任意代码。值得一提的是,这类漏洞在非越狱设备上可直接通过沙箱触发,给用户带来极大的风险。
3)内核漏洞
在越狱过程中内核漏洞的主要目标是利用漏洞转化成稳定的任意读写能力,然后对内核代码进行修改,从内核层关闭iOS的安全机制。
虽然iOS内核有诸多安全机制:
- SMAP(Supervisor Mode Access Prevention,防止超级用户访问)、
- DEP(Data Execution Prevention,数据执行保护)、
- KASLR(Kernel Address Space Layout Randomization,随机分配内核地址空间),但仍有少数的溢出漏洞能独立利用并绕过这些安全机制,最近数次完美越狱(iOS7.1.2~iOS9.0)的内核漏洞都是从开源驱动模块IOHIDFamily中找到的。
用于iOS9越狱的CVE-2015-6974漏洞,存在于IOHIDFamily-IOHIDLibUserClient中,是典型的UAF漏洞,在对象释放后未将指针置空,使对象释放后用户态还能继续调用,进而泄露内核基础和控制vtable找到合适的gadget转化成任意读写能力。
(2)开发工具植入恶意代码
Xcode Ghost是一种iOS手机病毒,主要通过非官方下载的Xcode传播,通过在开发工具Xcode中插入恶意代码,在开发过程中通过CoreService库文件进行感染,使编译出的App被注入第三方的代码,向指定网站上传用户数据。
2015年9月,在App Store上架的多个应用被爆注入了Xcode第三方恶意代码,这些恶意代码成功绕过了苹果平台的审核,在被用户下载到本地运行时即可窃取用户信息,执行大量恶意行为。受XcodeGhost病毒影响,App Store下架了被污染的多个应用,逾1亿用户受影响。
(3)iOS后门风波
德国《明镜》周刊网站最先披露美国国家安全局曾编制一种软件用以收集苹果手机用户信息,这在一定程度上证实了技术界人士先前的普遍推测,即苹果手机有“后门”。在德国汉堡市举行的第30届混沌通信大会期间,电脑安全独立研究人员雅各布·阿佩尔鲍姆公开了多份美国国家安全局文件,披露这一美国情报机构编制恶意软件,名为“遗失吉普”(Dropout Jeep)。
文件编写日期为2008年10月1日,即苹果iPhone等智能手机上市初期。“遗失吉普”最初版本需要以人工方式植入iPhone,后续版本可以远程遥控安装,用于收集手机用户联系人、读取短信内容、听取语音留言、确认手机所处地理位置以及附近基站,甚至打开手机相机和麦克风,继而以加密数据的方式把这些信息发回植入者。
2014年3月中央电视台也对苹果手机可搜集记录用户位置的功能提出质疑,认为苹果手机详细记录了用户位置和移动轨迹,并记录在未加密数据库中,该功能不仅记录用户常去的地点名称,还详细记录用户在这个地点停留的时间及次数。
2014年苹果公司首次承认,可以通过一项此前并未公开的技术来提取iPhone中定位、短信、通讯录和照片等个人数据。同时苹果公司强调称,通过此项技术提取的用户数据仅用于售后服务和改善用户体验并且苹果公司从未与任何国家的任何政府机构就任何产品或服务建立过所谓的“后门”。
尽管目前没有充分证据证明iOS操作系统存在间谍“后门”,但是苹果公司收集的信息显然超过了他们的需要,这些信息可能被情报机构或者恶意组织利用进行泄露隐私等危害用户权益的行为。如果这些信息中还涉及到商业秘密或国家机密,将会对整个社会的信息安全造成破坏。
(4)用户数据安全
苹果手机的iCloud云服务向用户提供位置、短信、通讯录、照片等信息备份功能,云端数据存储在境外服务器中,对于政府工作人员、军人和商务人士来说,可能会存在泄露商业秘密和国家机密的风险。
(5)越狱的安全隐患
iOS越狱是针对iOS操作系统限制用户存储读写权限的破解操作。经过越狱的iPhone拥有对系统底层的读写权限,能够让iPhone手机免费使用破解后的App Store软件。iOS系统一旦“越狱”,iOS系统的代码签名、沙盒等数据保护机制便失去了作用,用户数据完全暴露在攻击者面前。
“越狱”过的用户,手机安全受到严重的威胁,用户更加容易受到恶意软件和其他病毒的影响,黑客也更容易获得更高的权限,从而对系统进行控制。iOS系统在越狱后,其所实现的功能发生很大的变化,提高了用户权限,可以安装多种软件,可以对用户资料进行截获、跟踪和窃听,越狱前后功能对比如下表所示。
iOS越狱多数是用户的主动行为,用户选择了使用过程中的功能性而牺牲了安全性,由此导致的安全威胁,只能依赖用户个体信息安全意识的提高来改善。
2.2 Android系统安全分析
Android系统的安全机制是在Linux安全机制的基础上构建的,但Android系统以开放性为主,无论是应用程序数字签名方式、权限控制、发布渠道、应用程序审核等都是开放性设计,因此Android平台成为恶意软件和病毒攻击的重要对象,面临的安全问题更为严重。
(1)ROOT权限泄露
Android系统并未严格限制开发者或者用户获取ROOT权限,ROOT权限是系统最高级别的操作权限,可以对手机中的任意数据和文件进行操作。如果被恶意软件获取ROOT权限,将会造成用户隐私泄露并遭受恶意扣费、资源消耗等各种恶意行为的侵害。
(2)版本碎片化问题
随着Android设备的增加,各种品牌、版本、屏幕分辨率以及不同硬件和定制ROM使Android面临碎片化的问题。这不仅造成了开发者繁重的适配工作,还使信息安全问题更加难以解决。目前甚至还存在着相当比例的2.1、2.3等老版本Android系统,不具备最新的安全功能,这类设备遭受恶意软件骚扰和网络攻击的风险急剧增加。
(3)开放的应用分发方式
应用商店原本应作为手机病毒传播的第一道屏障,但Android应用传播可以说完全脱离了应用商店的限制,Android系统对于应用的来源并未做出严格要求,允许任意未知来源的应用下载和安装。Google官方Google Play Market应用商店市场占有率有限且在我国未开展业务,而第三方应用商店由于缺乏有效的监管,因此更多基于互联网传播的应用被注入恶意代码。应用分发过程的开放性造成Android应用质量不可靠的问题,安全性无法得到保证。
(想起有些APP在iphone上想尽办法都安装不了,但是安卓只要你做好心理准备,不过现在还是有很多安装前需要你同意,不像以前自动就安装了,尤其是某些网站)
参考资料
- 移动互联网时代的智能终端安全
作者:Hkcoco
文章来源:TrustZone
推荐阅读
更多物联网安全,PSA等技术干货请关注平台安全架构(PSA)专栏。欢迎添加极术小姐姐微信(id:aijishu20)加入PSA技术交流群,请备注研究方向。
