移动互联网安全发展趋势及对策分析
发布时间:2015-06-19

翟世俊,姚一楠

(中国信息通信研究院,北京 100191)

收稿日期:2015-06-01

【摘要】在总结移动互联网的发展现状和其所面临的安全威胁的基础上,分析移动互联网安全发展趋势,并提出了保障移动互联网信息安全的建议。

【关键词】信息安全威胁    智能终端安全    接入网安全    终端业务安全    移动支付    移动广告安全    BYOD

doi:10.3969/j.issn.1006-1010.2015.11.000      中图分类号:TP309      文献标识码:A      文章编号:1006-1010(2015)11-0000-00

引用格式:翟世俊,姚一楠. 移动互联网安全发展趋势及对策分析[J]. 移动通信, 2015,39(11): 00-00.

 

1   引言

近年来,随着移动智能终端迅速普及和移动应用的多样化发展,极大地促进了我国移动互联网的发展。截至2014年12月,中国移动互联网用户数量已达5.57亿,中国网民中使用移动智能终端作为主要上网设备的人数占比已超过85%,通过移动终端接入互联网的比例继续增高。移动互联网是移动通信和互联网融合的产物,随着移动通信、智能终端操作系统、终端芯片等技术的进步,移动互联网在满足用户基本通信和信息获取需求的同时,正在向移动支付、金融、社交、交通、医疗等领域扩展,促进了移动应用的多样化发展。2014年,Google play应用商店和iOS 应用商店中应用总量分别达到143万款和121万款。移动互联网不断拓展出创新应用与服务,改变了传统的互联网格局和发展模式,也改变了传统行业的业务模式,改变了人们的生活和工作方式,给市场带来持续的增长。

近年来,随着移动互联网的飞速发展,网络与信息安全问题日益凸显,移动智能终端安全事件层出不穷,移动恶意应用肆意泛滥,个人隐私窃取、资费消耗等安全问题时有发生,严重影响移动互联网的健康发展。因而需要进一步规范移动互联网的发展,加强对移动互联网的治理。

 

2   移动互联网的安全问题

伴随着移动互联网用户的快速增长、智能终端和移动应用更加丰富和多样化,移动互联网安全问题将更加突出,安全形势更为严峻。移动互联网作为移动智能终端、互联网和移动通信融合的产物,不可避免地继承了传统互联网和移动通信网的脆弱性;移动互联网由于智能终端和移动应用的多样性,移动用户访问网络的模式和使用习惯与传统的网络时代有很大差别,移动互联网所面临的安全问题不是传统互联网和移动通信网安全问题的简单叠加。移动互联网面临的安全问题可以从智能终端、接入网和应用及业务等方面进行分析。

2.1  智能终端安全问题

随着移动通信、智能终端操作系统、集成电路等领域技术的快速进步,智能终端的通信、计算、存储等能力迅速得到提升,对于人们来说智能终端已不再局限于通信和娱乐,已经广泛应用于人们工作和生活的各个领域,如办公、金融、支付、社交等,逐渐成为网络边界。同时,智能终端存储了大量的个人隐私和敏感信息,很容易成为攻击对象,出现比传统计算机更严峻的安全问题,损害用户权益,甚至威胁国家安全。智能终端面临的安全问题主要有以下3类。

(1)终端漏洞威胁。智能终端的操作系统、应用软件、固件等都有可能存在漏洞,恶意攻击者可以利用这些漏洞对终端进行攻击。终端操作系统,特别是市场占有率超过70%的安卓系统,呈现出显著的碎片化现象。终端操作系统的发布与更新往往是由各个终端厂商独立完成的,每个终端厂商都会根据自己的软硬件设计,对原生的安卓操作系统进行或多或少的定制化开发。因此,即便是安卓系统的原始开发者Google公司,也无法掌控所有终端系统的漏洞修复与版本更新,这就使得终端操作系统的安全性面临更加复杂的挑战。终端漏洞会降低智能终端的安全性,导致严重的安全问题,如经济损失、隐私泄露等。

(2)恶意应用威胁。木马病毒等恶意软件是计算机时代的主要安全威胁,随着移动互联网的发展和智能终端的普及,恶意应用威胁也开始向移动互联网领域发展。恶意应用带来的安全问题主要包括恶意扣费、隐私窃取、远程控制、恶意传播、资源消耗、系统破坏、诱骗诈取和流氓行为等。2014年Android平台新增的恶意程序中,资费消耗类占比高达74.3%,给用户造成了严重的经济损失;其次为隐私窃取,隐私窃取虽然不直接构成经济损失,但它会为用户的手机埋下安全隐患,一旦危机爆发,危害程度更高。

(3)恶意骚扰威胁,如诈骗、垃圾短信和邮件等。诈骗和垃圾短信已成为移动互联网中的一大问题,相比于传统互联网的诈骗和垃圾信息,移动号码的唯一性将导致诈骗和垃圾信息的传播更准确、更便捷,也更具欺骗性。

2.2  接入网安全问题

随着移动互联网的发展,其网络边界也越来越模糊,传统互联网的安全域划分、等级保护等安全机制在移动互联网中不再完全适用,移动互联网的网络侧面临新的安全威胁。移动互联网增加了无线接入和大量移动智能终端设备,网络攻击者可以通过破解空中接入协议非法访问网络,对空中接口传递的信息进行监听和窃取。另外,移动互联网中IP化的电信设备、信令和协议存在各种可能被利用的软硬件漏洞,攻击者可以利用这些漏洞对移动互联网进行攻击。并且,由于IP协议的开放性和移动智能终端的移动性,使得伪造和隐藏网络地址相对容易,这给实时定位和溯源网络攻击变得相对困难。作为移动互联网主要管道的LTE网络,其本身也存在着尚未解决的安全问题,如用户隐私泄露、特殊场景下安全机制考虑不足等。

2.3  业务安全问题

移动互联网承载的业务多种多样,不再只是传统的语音、短信服务;同时又引入了更多的业务平台,网络结构更加复杂,端到端的业务安全防护难度更大,业务系统被非法访问、隐私数据和敏感信息泄露、垃圾和不良信息传播等安全风险更高。另外,移动办公、金融支付等业务对安全有着更高的要求,目前虽然发展迅速但还没有统一的业务安全标准和体系。移动互联网业务常见的威胁主要有非法数据访问、非法业务访问、业务盗用滥用、隐私敏感信息泄露、SQL注入、拒绝服务攻击、垃圾和不良信息传播等。

另一方面,移动互联网出现了越来越多的与云计算结合的业务,随着云服务的推广,大量的用户个人信息、企业业务数据将在云计算平台上集中存储和管理,云计算服务存在公共租赁、虚拟化等特性,将给移动互联网带来新的安全问题,如用户和企业数据泄露等。同时,云服务平台上用户和企业数据的使用缺乏监管,这些数据有可能在用户和企业不知情的情况下被非法使用。

 

3   移动互联网安全发展趋势

移动互联网安全是一个复杂的系统性问题,涉及终端设备、移动网络和业务应用等各个方面,当前移动互联网安全出现一些新的趋势,恶意应用、移动支付、移动广告、BYOD安全风险持续增长。

3.1  恶意应用持续增长并向底层渗透

据CNCERT发布的数据显示,2014年我国智能终端恶意应用持续增长,恶意样本已从2011年的6 000余例发展到95万例,其中安卓系统上恶意应用占据主流。其中恶意吸费应用增长尤其迅猛,其采用恶意应用传播与人工诈骗相结合的方式,形成了完整的黑色利益链条,给智能终端用户带来了严重的经济损失。据智能终端安全厂商统计,2014年被感染恶意程序的Android用户累计达3.19亿人次,较2012年和2013年分别增长了5.17倍和2.17倍。根据移动互联网恶意代码描述规范,智能终端恶意应用主要分为8类,包括恶意扣费、隐私窃取、远程控制、恶意传播、资源消耗、系统破坏、诱骗诈取和流氓行为。在2014年Android平台新增的恶意程序中,资费消耗类占比达70%左右,给用户造成了严重的经济损失;其次为隐私窃取,在用户不知情或未授权的情况下,获取用户个人信息,隐私窃取虽然不直接构成经济损失,但它会为用户的手机安全埋下隐患,一旦危机爆发,危害程度更高。

此外,恶意应用正加速向Linux内核驱动层渗透,并不断增加破解难度。一是恶意代码在自我保护和加密技术上有了新的突破;各类加固技术的推出,在保护部分应用开发者利益的同时也被用作躲避病毒查杀的方案。二是代码混淆技术进一步发展,代码乱序、字符串处理使得无法对恶意应用进行逆向分析。三是恶意代码加固方式越来越深入系统底层,出现了Java和so注入、动态库加壳、动态加载dex和内存加载dex等方式。随着互联网的发展,黑客视线正逐渐由传统互联网转移至移动互联网,恶意应用也逐步向Linux内核驱动层渗透,恶意应用攻击和感染的方式不断增加,使移动互联网面临更严峻的安全挑战。

3.2  移动支付风险持续增长

中国互联网网络信息中心(CNNIC)发布的数据显示,截至2014年12月底,中国网民规模达6.49亿,其中手机网民规模达5.57亿,同比增长11.4%,占总网民数的85.8%。手机支付用户规模达到2.17亿,同比增长了73.2%,占手机网民总量的39%。可见,手机支付用户的增长速度远远高于网民总规模的增长速度和手机网民规模的增长速度。移动支付的时代已经到来,移动支付是互联网竞争的下一个主战场。据数据统计结果显示,截至2014年12月,有支付风险的用户占比超过20%。继银行卡支付,PC端网上支付之后,中国消费者已经快速进入了移动支付时代。不过,由于智能终端系统的某些安全问题,移动支付安全一直受到智能终端安全漏洞和各类恶意应用的威胁。此外,智能终端还是传统PC端网上支付的重要验证途径和消费通知途径,也是各类诈骗短信攻击的目标。因此,尽管目前所有的移动支付产品都非常重视支付的安全性,但移动支付的安全性问题仍然存在很多隐患。移动支付的风险主要来自支付类恶意应用、不明Wi-Fi网络环境、支付应用本身漏洞、验证短信不安全等方面。

3.3  移动广告安全风险初现

随着智能终端的迅速普及,以移动互联网为载体的移动广告迎来了迅猛发展,根据艾媒咨询《2014—2015年中国移动广告平台行业观察报告》的数据显示,2014年中国移动广告平台市场整体规模为275.6亿元,同比增长137.38%,2015年将达到564.9亿元。面对移动广告市场的迅速发展,移动广告数量也呈现出暴增趋势。根据AVL移动安全团队统计,2014年广告件数量达到500多万个,较2011年增长了250倍左右。移动广告市场的快速增长导致国内涌现出上百家移动广告平台,通过在移动应用中集成广告插件,收取广告主的展示费来盈利。这些广告平台大小不一,良莠不齐,提供的广告插件没有统一的行业标准,并且缺乏行业监管,给移动互联网安全带来了一定的风险和隐患。移动广告存在的安全风险主要有广告插件存在恶意代码或漏洞,自动下载恶意应用软件、收集用户隐私敏感信息、传播垃圾和不良信息等。

3.4  BYOD带来安全隐患

BYOD(Bring Your Own Device)指携带自己的设备办公,这些设备包括个人电脑、手机、平板等(而更多的情况指手机或平板这样的移动智能终端设备)。BYOD允许员工使用自己的设备进行办公,该模式可以为企业节约办公成本、提高办公效率。同时,BYOD 的应用也给大多数企业带来新的挑战,个人应用和企业应用并存使得企业数据存在非授权访问和泄露的风险。用户在企业外部网络使用移动终端可能会被恶意程序感染,并且在接入企业内部网络时迅速传播同时进行数据窃取或者网络破坏,严重时甚至导致网络瘫痪。此外,用户在安装非企业内部应用时也可能因内嵌恶意程序给企业网络带来潜伏式的攻击,如恶意程序刻意搜集企业内部信息,当用户利用BYOD设备进入外部网络时,造成企业内部数据泄漏。

 

4   移动互联网安全对策

针对移动互联网面临的新的安全挑战,有必要采取积极有效地应对措施。

一是完善移动互联网相关的法律法规和标准,加强移动互联网的安全管理和日常监督监测,落实安全责任。目前,我国还没有专门针对移动互联网信息安全的法律法规明确界定移动互联网各方的职责范围、责任主体。同时移动互联网业务涉及领域众多,存在多个部门对移动互联网进行监管及职责交叉等问题。因此,需要制定针对移动互联网的法律法规,在法律层面界定移动互联网使用者、接入服务商、业务提供商、监管者的权利和义务,加强应用商店、终端厂商的安全管理和日常监督监测,落实安全责任。另外,由于多部门分头管理移动互联网,在移动互联网恶意行为判定、隐私窃取、业务安全等方面存在标准不统一或是缺乏相应的安全标准的问题。为此,需要针对移动互联网面对的新的安全问题,特别是移动支付、移动广告、BYOD等新的业务,分析安全需求,制定相应的国家和行业标准规范,为移动互联网的安全检测、监督提供统一科学的规范依据。

二是推广权威第三方移动应用签名认证,确保应用开发者、发布渠道和检测机构可溯源。建立移动应用数字签名与认证机制是实现应用软件可追溯体系和移动互联网可信应用环境的重要技术手段。移动应用软件开发者使用第三方认证证书进行开发者签名,确保应用来源的可追溯;移动应用软件检测机构对应用软件进行安全检测,检测合格后进行检测机构签名,确保检测结果的可信性;移动应用商店对上架应用软件进行渠道签名,确保应用下载渠道可追溯;移动智能终端通过操作系统内置应用签名验签软件对即将要安装的应用软件签名情况进行验证,并将识别到的开发者信息、安全检测情况、流通渠道等信息真实地呈现给用户,为用户下载、安装安全可信应用软件提供指引。

三是加强对移动互联网安全新技术和产品服务的研究和投入。针对移动互联网新的安全挑战,有必要采取积极有效地应对措施,研究新的安全威胁的解决方案,如支持研发针对采用加固技术的恶意代码的检测方法、移动支付和移动广告安全解决方案、BYOD安全管理系统解决方案等,并将解决方案转化为相应的标准,提高整个行业信息安全水平。支持建立移动互联网安全漏洞库,通过建立移动互联网漏洞收集、分析、通报和面向应用的工作机制,开始为政府部门、产业界及社会提供移动互联网信息安全漏洞分析和风险评估服务,以提高移动互联网安全防护能力。

 

5   结束语

随着移动互联网的快速发展,移动恶意应用也变得复杂多变,其检测也变得越来越困难;同时,移动支付和移动广告的安全风险持续增长,BYOD发展也给移动互联网带来新的安全问题。针对新的安全挑战,有必要采取积极有效地应对措施。为保障移动互联网安全,需要制订完善的与移动互联网安全相关的法律法规和标准、建立移动应用数字签名与认证机制、加强对移动互联网安全新技术和产品服务的研究和投入等。同时,加强移动互联网产业各方的协作,建立科学合理的移动互联网安全防护机制,确保移动互联网安全有序的发展。

 

参考文献:

[1] 中国互联网信息中心. 第35次中国互联网络发展状况统计报告[Z]. 2015.

[2] 中国互联网信息中心. 第34次中国互联网络发展状况统计报告[Z]. 2014.

[3] 国家互联网应急中心. 2014年中国互联网网络安全报告[Z]. 2015.

[4] 国家互联网应急中心. 2013年中国互联网网络安全报告[Z]. 2014.

[5] 国家互联网应急中心. 2012年中国互联网网络安全报告[Z]. 2013.

[6] 国家互联网应急中心. 2011年中国互联网网络安全报告[Z]. 2012.

[7] 艾媒咨询. 2014—2015年中国移动广告行业研究报告[Z]. 2015.

[8] 潘娟,袁广翔. 移动智能终端安全威胁及应对措施[J]. 移动通信, 2015,39(5): 21-25.

[9] 李媛,潘娟. 移动应用广告安全研究[J]. 互联网天地, 2014 (3): 38-40.

[10] 360互联网安全中心. 2014年APP广告插件安全研究报告[Z]. 2014. ★

 

 

请输入评论内容
登录注册访问网站首页。

copyrights @ 2013  版权所有:中国电子科技集团公司第七研究所《移动通信》杂志社

粤ICP备17061932号-2     粤公网安备 44010502000212号