【正文】 中原工學(xué)院信息商務(wù)學(xué)院畢業(yè)論文 16 移動(dòng)終端系統(tǒng)大多數(shù)采用 ARM 處理器，類似于 x86 架構(gòu)， ARM 處理器也支持多個(gè)運(yùn)行模式。應(yīng)用代碼運(yùn)行在用戶模式，內(nèi)核代碼運(yùn)行在內(nèi)核模式。不同模式之間的硬件隔離使得從用戶模式直接發(fā)起攻擊難度較大。 加載內(nèi)核模塊 Linux 允許用戶在運(yùn)行時(shí)將模塊整合到內(nèi)核中，如設(shè)備驅(qū)動(dòng)。一旦惡意代碼被加載進(jìn)入內(nèi)核，它就擁有內(nèi)核的所有特權(quán)，具有直接訪問系統(tǒng)硬件資源的能力，可以繞過上層的安全機(jī)制。比如借助 kprobes，可以實(shí)現(xiàn)系統(tǒng)調(diào)用劫持的目的。 這種攻擊方式在實(shí)現(xiàn)上有一定難度。主要原因是移動(dòng)終端設(shè)備的 OEM 廠商不必考慮靈活地添加外設(shè)，因而普遍缺乏對(duì) LKM 的支持。 內(nèi)核漏洞 移動(dòng)終端系統(tǒng)可能出現(xiàn)內(nèi)核漏洞。一方面，內(nèi)核結(jié)構(gòu)的復(fù)雜性和龐大的規(guī)模使其包含安全漏洞的可能性大增。另一方面，內(nèi)核代碼包含了大量的硬件參數(shù)等信息，通常由 OEM 廠商發(fā)布。但是目前移動(dòng)終端，特別是 Android 平臺(tái)，品牌、設(shè)備繁多，存在著嚴(yán)重的碎片化問題，無法保證及時(shí)地發(fā)布安全更新。因此，隨著移動(dòng)終端的發(fā)展，利用內(nèi)核漏洞發(fā)起攻擊的概率將不斷增加。 物理層攻擊 移動(dòng)終端系統(tǒng)包含了豐富的傳感器資源，比如 MIC、攝像頭、 GPS、重力傳感器等。 包含傳感器的移動(dòng)終端設(shè)備稱為 Mobile CyberPhysical System。由于移動(dòng)終端通常與用戶綁定，用戶當(dāng)前物理世界的信息可以被傳感器實(shí)時(shí)地轉(zhuǎn)換為數(shù)據(jù)。一旦傳感器資源被濫用，用戶當(dāng)前的隱私信息就會(huì)通過傳感器的轉(zhuǎn)換和通信基礎(chǔ)設(shè)施的傳輸被敵手獲得。 除了上述攻擊方式，傳感器資源還被用來進(jìn)行更為精密的信息竊取。 Roman Shclegel 等人提出并實(shí)現(xiàn)了一個(gè)基于音頻的用戶隱私信息竊取攻擊。 PlaceRaider是一個(gè)視頻信息竊取攻擊。通過完全控制終端設(shè)備的攝像頭和其它傳感器資源，PlaceRaider 可以構(gòu)建出用戶所在空間的三維立體模型。攻擊者可以 通過中原工學(xué)院信息商務(wù)學(xué)院畢業(yè)論文 17 PlaceRaider 對(duì)用戶所在的空間信息進(jìn)程精細(xì)的跟蹤，從而實(shí)現(xiàn)重要信息的獲取。另一個(gè)攻擊的例子為通過加速度傳感器獲取鍵盤敲擊信息。其攻擊過程是通過加速度傳感器獲取鍵盤敲擊時(shí)引起的振動(dòng)信息，進(jìn)而判斷鍵盤敲擊動(dòng)作。傳感器資源濫用配合信息分析技術(shù)，可以通過移動(dòng)設(shè)備實(shí)現(xiàn)物理層信息的深度獲取。 通信網(wǎng)絡(luò)層攻擊 通信網(wǎng)絡(luò)是移動(dòng)終端進(jìn)行數(shù)據(jù)交互的基礎(chǔ)。通信網(wǎng)絡(luò)層包括移動(dòng)終端的無線接入網(wǎng)絡(luò)和傳統(tǒng)的 Inter 網(wǎng)絡(luò)。現(xiàn)有的無線接入網(wǎng)絡(luò)主要有五類：衛(wèi)星通信網(wǎng)絡(luò)、蜂窩網(wǎng)絡(luò)（ 2G 網(wǎng)絡(luò)、 3G 網(wǎng)絡(luò)）、無線城域網(wǎng)（ WiMAX）、無線局域網(wǎng)（ WLAN）、基于藍(lán)牙的無線個(gè)域網(wǎng)。 無線接入網(wǎng)絡(luò)攻擊 針對(duì)無線接入網(wǎng)絡(luò)的攻擊，容易造成用戶隱私信息和位置信息的泄漏。以3G 網(wǎng)絡(luò)協(xié)議的一個(gè)漏洞為例，參考文獻(xiàn)分析了 3G 協(xié)議的安全性，發(fā)現(xiàn)了辨別并跟蹤移動(dòng)終端的威脅。首先攻擊者向移動(dòng)用戶頻繁發(fā)送 paging 請(qǐng)求，就可以在用戶、用戶暫時(shí)標(biāo)識(shí)符 TMSI、用戶長(zhǎng)期標(biāo)識(shí)符 IMSI 之間建立關(guān)聯(lián)。然后攻擊者利用網(wǎng)絡(luò)和移動(dòng)用戶雙向認(rèn)證協(xié)議 AKA 的弱點(diǎn)，截獲網(wǎng)絡(luò)向移動(dòng)用戶發(fā)送的認(rèn)證請(qǐng)求，然后頻繁地重放，就能從移動(dòng)用戶反饋的認(rèn)證失敗消息中提取出基站等位置信息。 傳統(tǒng) Inter 網(wǎng)絡(luò)的攻擊 傳統(tǒng) Inter 保護(hù)數(shù)據(jù)的主要方式是 SSL 安全傳輸協(xié)議。移動(dòng)終端如 Android也提供了 SSL 功能，但是研究人員發(fā)現(xiàn)了 Android 系統(tǒng)可能導(dǎo)致 SSL 中間人攻擊的幾個(gè)脆弱點(diǎn)。 （ 1） Android 系統(tǒng)可以設(shè)置相信所有證書。一旦選擇了該選項(xiàng)，就喪失了SSL 的網(wǎng)絡(luò)通信保護(hù)； （ 2） 域名和證書之間沒有綁定關(guān)系。 Android SSL 只能驗(yàn)證證書是否被接受，但不能驗(yàn)證該證書是否為一個(gè)特定的域名簽發(fā)。這為假冒域名的調(diào)用攻擊提供了途徑； 中原工學(xué)院信息商務(wù)學(xué)院畢業(yè)論文 18 （ 3） 包含了太多可信 CA。 默認(rèn)包含 134 個(gè)根證書，太多的信任根導(dǎo)致用戶對(duì)網(wǎng)絡(luò)連接的安全性判別變得困難； （ 4） 安全和非安全連接并存。非安全網(wǎng)絡(luò)連接的存在可能存在影響安全網(wǎng)絡(luò)連接的安全性。當(dāng)敏感信息沒有 SSL 通信安全保護(hù)時(shí)，傳統(tǒng)地網(wǎng)絡(luò)通信監(jiān)控和數(shù)據(jù)分析技術(shù)將可以很容易地用于網(wǎng)絡(luò)通信信息獲取。 6 應(yīng)對(duì)策略及防護(hù)手段 移動(dòng)互聯(lián)網(wǎng)個(gè)人信息安全問題的應(yīng)對(duì)策略 （ 1）完善法律監(jiān)督體系 就目前情況來看，我國(guó)互聯(lián)網(wǎng)信息安全立法層次較低，相互間缺乏協(xié)調(diào)，而且目前還沒有建設(shè)專業(yè)的移動(dòng)互聯(lián)網(wǎng)法律 .因此，把現(xiàn)有的法律運(yùn)用到移 動(dòng)互聯(lián)網(wǎng)上，明顯缺乏權(quán)威性和針對(duì)性，而且目前最關(guān)鍵問題就是移動(dòng)互聯(lián)網(wǎng)的接入，現(xiàn)階段我國(guó)還沒有實(shí)行手機(jī)實(shí)名制的立法 .由此可見，移動(dòng)互聯(lián)網(wǎng)繼續(xù)相關(guān)、實(shí)用的法律來進(jìn)行制約和保護(hù) .立法是政府對(duì)移動(dòng)互聯(lián)網(wǎng)管制的最主要的手段，對(duì)立法進(jìn)行完善，其實(shí)也就是依法協(xié)調(diào)移動(dòng)互聯(lián)網(wǎng)運(yùn)營(yíng)企業(yè)與客戶關(guān)系的需要 . 我國(guó)要想建立科學(xué)合理地移動(dòng)互聯(lián)網(wǎng)信息安全法律體系，可以借鑒發(fā)達(dá)國(guó)家的成功經(jīng)驗(yàn)，把移動(dòng)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和信息安全相獨(dú)立，并且建立各自獨(dú)立的法律法規(guī) .針對(duì)我國(guó)目前的實(shí)際情況，對(duì)移動(dòng)互聯(lián)網(wǎng)安全進(jìn)行立法可以從以下幾個(gè)方面來進(jìn)行：①手機(jī)實(shí) 名制立法的制定，完善隱私保護(hù)法律；②對(duì)互聯(lián)網(wǎng)管理以及互聯(lián)網(wǎng)網(wǎng)絡(luò)安全管理的法律要進(jìn)行完善；③把信息安全基本法建立起來，完善與信息安全相關(guān)的法律法規(guī) . （ 2）制定移動(dòng)互聯(lián)網(wǎng)的安全技術(shù)標(biāo)準(zhǔn) 當(dāng)前的移動(dòng)互聯(lián)網(wǎng)在終端安全及網(wǎng)絡(luò)安全方面缺乏安全管理機(jī)制，所以要確保移動(dòng)互聯(lián)網(wǎng)安全應(yīng)該結(jié)合我國(guó)現(xiàn)有的密碼管理方法制定相關(guān)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，確立 AKA 認(rèn)證及空口加密體制，并設(shè)立網(wǎng)絡(luò)域的安全體制，在網(wǎng)絡(luò)域中部署入侵檢測(cè)、數(shù)據(jù)加密及用戶認(rèn)證等安全網(wǎng)關(guān)，實(shí)現(xiàn)安全隔離。同時(shí)還要加強(qiáng)移動(dòng)互聯(lián)網(wǎng)安全保障的技術(shù)標(biāo)準(zhǔn)。 （ 3）加強(qiáng)移動(dòng) 的 終端管理 中原工學(xué)院信息商務(wù)學(xué)院畢業(yè)論文 19 基于手機(jī)病毒及垃圾短信，要加強(qiáng)對(duì)移動(dòng)互聯(lián)網(wǎng)終端安全產(chǎn)品及技術(shù)的研發(fā)。同時(shí)，公安部門要加強(qiáng)查處力度，政府及運(yùn)營(yíng)商要對(duì)用戶加強(qiáng)安全教育，提高用戶安全意識(shí)。完善在線監(jiān)控，建立信息投訴平臺(tái)，確保移動(dòng)互聯(lián)網(wǎng)健康發(fā)展。 （ 4）加大移動(dòng)互聯(lián)網(wǎng)安全服務(wù)投入 在移動(dòng)互聯(lián)網(wǎng)全業(yè)務(wù)的運(yùn)營(yíng)過程中，電信運(yùn)營(yíng)企業(yè)要加大安全投入，從多方面提高互聯(lián)網(wǎng)安全能力，加強(qiáng)移動(dòng)互聯(lián)網(wǎng)信息安全建設(shè)，提高產(chǎn)品的品質(zhì)安全，提升用戶的體驗(yàn)感。 （ 5）強(qiáng)化新技術(shù)在信息安全問題上的應(yīng)用 在移動(dòng)互聯(lián)網(wǎng)快速發(fā)展的今天，越來越多的新技術(shù)也隨之出現(xiàn)，利用這些新技術(shù)可以 使用戶個(gè)人的信息更加安全。比如說在移動(dòng)互聯(lián)網(wǎng)的云計(jì)算安全防護(hù)中，利用同態(tài)數(shù)據(jù)加密技術(shù)，能夠通過客戶端和云計(jì)算平臺(tái)提供的強(qiáng)大的計(jì)算和儲(chǔ)存能力，確保用戶在保護(hù)自身信息的情況下完成各種操作，實(shí)現(xiàn)需要的服務(wù)。 移動(dòng)互聯(lián)網(wǎng)個(gè)人信息安全問題的防護(hù) 根據(jù)移動(dòng)互聯(lián)網(wǎng)的特點(diǎn)及這些安全問題的特征，下面從三個(gè)方面分析下移動(dòng)互聯(lián)網(wǎng)中的安全防護(hù)。 移動(dòng)終端的防護(hù) 移動(dòng)終端的防護(hù)也是唯一用戶主導(dǎo)的防護(hù)措施，核心理念是要用戶提高安全意識(shí)，對(duì)于自身及其重要的信息比較銀行卡的賬戶密碼及身份證等信息最好不要存在終端上，因?yàn)榇?在上面就意味著有一定的風(fēng)險(xiǎn)。另外，養(yǎng)成良好的使用習(xí)慣，選擇比較權(quán)威的網(wǎng)站或者經(jīng)過安全檢測(cè)的應(yīng)用。此外還應(yīng)知道安全軟件不是萬能的，并且安全軟件本身安不安全也存在一定疑問。 目前主流的智能終端都帶有流量統(tǒng)計(jì)，可以經(jīng)常查看流量的去向，如果發(fā)現(xiàn)某一應(yīng)用明顯流量異常，那么其有很大可能性存在盜取流量行為，應(yīng)及時(shí)卸載，必要時(shí)可采用法律手段。 及時(shí)更新系統(tǒng)軟件可以在一定程度上進(jìn)行安全防護(hù)，因?yàn)樾碌南到y(tǒng)軟件會(huì)有一些功能上的改進(jìn)，或者修補(bǔ)已有的漏洞，這樣的話一些依賴舊的系統(tǒng)漏洞的病毒或應(yīng)用就會(huì)失效。 中原工學(xué)院信息商務(wù)學(xué)院畢業(yè)論文 20 APP STORE 應(yīng)加強(qiáng)監(jiān)管 從目前來看，移動(dòng)互聯(lián)網(wǎng)被 IOS 和 Android 兩大陣營(yíng)壟斷， IOS 占據(jù) 17%左右的份額， Android 占據(jù)將近 80%的份額。 IOS 的 APP STORE 有著較為嚴(yán)格的審查，安全性有較好保障， Android 系統(tǒng)的 APP STORE 相關(guān)監(jiān)管有待加強(qiáng)。 第一， 對(duì)于每一款要上線的 APP 都要經(jīng)過全面的測(cè)試，確保沒有惡意的盜取用戶信息或流量等行為才準(zhǔn)許上線。 第二，對(duì)于用戶的投訴要及時(shí)處理，一旦發(fā)現(xiàn)屬實(shí)，應(yīng)當(dāng)立即下架相關(guān)應(yīng)用。 第三，對(duì)于聲明插入廣告的應(yīng)用，要求其明確估計(jì)廣告所產(chǎn)出的額 外流量，避免用戶在不知情的情況下被盜用大量流量。 電信運(yùn)營(yíng)商強(qiáng)化安全防護(hù) 電信運(yùn)營(yíng)商是基礎(chǔ)服務(wù)提供商， 如果電信運(yùn)營(yíng)商可以強(qiáng)化安全防護(hù)措施， 那么可以從根本上解決很多安全問題，比如在用戶撥打付費(fèi)電話之前提示用戶，當(dāng)?shù)玫接脩舻倪M(jìn)一步確認(rèn)之后再提供后續(xù)服務(wù)， 另外可監(jiān)控用戶流量信息，如果發(fā)現(xiàn)流量使用異常，可發(fā)短信提醒用。另外，電信運(yùn)營(yíng)商可加強(qiáng)對(duì)損害用戶的站點(diǎn)及付費(fèi)電話等進(jìn)行監(jiān)管。必要時(shí)可采用法律手段，確保用戶的利益。 中原工學(xué)院信息商務(wù)學(xué)院畢業(yè)論文 21 參考文獻(xiàn) （ 1）柳青 . 移動(dòng)互聯(lián)網(wǎng)安全問題分析 [J].《衛(wèi)星電視與 寬帶多媒體》， （ 2）王永斌 .移動(dòng)互聯(lián)網(wǎng)完全探析 [J].通信世界， 2021（ 47） （ 3）吳振強(qiáng)，馬建峰 .基于管理的移動(dòng)互聯(lián)網(wǎng)安全體系結(jié)構(gòu) [J].中國(guó)計(jì)算機(jī)學(xué)會(huì)， 2021 （ 4）李春林，蕭月江 .企業(yè)信息安全中的手機(jī)防泄密解決方案 [J].通信技術(shù)， 2021 （ 5） MILLER C. Mobile Attacks and Defense[J].IEEE security privacy,