1、中工信商2015-JX16-本科毕业论文(设计)移动互联网个人信息安全问题研究系 (部)商学系专 业信息管理与信息系统学 号201104034325学生姓名周文龙指导教师董飞提交日期2015年 5 月 15日摘要移动互联网是全球在过去半个世纪的第 5个新技术周期,新的技术周期将带来巨大的财富,并将带动整个产业的发展和庞大的就业机会。但是在快速发展的移动互联网时代里,风险是与机遇并存的.移动互联网凭借其便携性、移动性、私人性等特点正为用户提供更个性化、更高质量的网络服务,但是移动互联网在为用户提供高质量的服务同时也正将用户更多的个人隐私暴露在网络之中.用户的信息正在被网络运营商、服务提供商或其他
2、商家在用户未授权的条件下收集以及使用着,而且这些个人信息还存在着透过网络泄漏或者是被非法盗取使用的威胁,可能对用户造成十分严重的伤害。本文就从“攻击”和“防范”这两个方面来对移动互联网进行研究。阐述目前移动互联网中存在的安全问题及安全的重要性。对现有安全威胁以及表现形式做了分析,对为加强安全应采取的应对措施做了较深入讨论,并描述了本研究领域的未来发展走向。让人们明白各种网络攻击的原理与防范的方法。从而减少因网络安全问题所产生的损失。关键词:移动互联网,信息安全,安全防护AbstractMobile Internet is the worlds fifth in the past half-ce
3、ntury cycle of new technologies, new technology cycle will bring great wealth, and will promote the development of the entire industry and a huge employment opportunities。 But in the era of rapid development of mobile Internet, the risk and opportunities。 Mobile Internet With its portability, mobili
4、ty, personal characteristics such as being to provide users with a more personalized, higher quality network services, but the mobile Internet in providing highquality service to users while also being more user privacy being exposed to the network. User information is being network operator, servic
5、e provider or another merchant user is not authorized to collect under the conditions and using them, but the personal information through the Internet, there are still leak or are used illegally stolen threat, may user cause very serious injury。In this paper from the attack” and ”prevention” to stu
6、dy two aspects of the mobile Internet。 Explained the importance of the current security problems that exist in the mobile Internet and security。 Existing forms of security threats and do the analysis, response measures should be taken to strengthen security to do a more indepth discussion, and descr
7、ibes the future development trend of this research. Allow people to understand the principles and methods of various network attacks prevention. Thereby reducing losses due to network security issues arising。Key words: Mobile Internet, Information Security, Security Protect目录摘要IIAbstractIII1 引言 1 1。
8、1 研究背景- 1 -1。2 研究目的与意义- 1 1.3 研究内容- 2 2 移动互联网的发展及未来发展趋势- 2 -2.1移动互联网概述 2 2。2移动互联网的发展- 4 3 移动互联网环境中的个人信息及安全- 6 3。1移动互联网环境中的个人信息 6 -3。2移动互联网环境中的个人信息安全 7 4 移动互联网个人信息安全面临的威胁 9 -4.1个人信息泄露的渠道 9 5 移动互联网攻击- 10 5。1应用层攻击- 10 -5。2中间层攻击 11 -5。3内核层攻击 12 -5.4物理层攻击- 12 5.5通信网络层攻击- 13 -6 应对策略及防护手段- 14 -6。1移动互联网个人信息
9、安全问题的应对策略 14 -6.2移动互联网个人信息安全问题的防护- 14 - 20 -中原工学院信息商务学院毕业论文1 引言1.1 研究背景当前,移动互联网在全球掀起了新的发展浪潮,特别是随着移动智能终端的日益普及,移动应用和服务不断丰富,我国也进入了移动互联网高速发展阶段。移动互联网一方面给用户带来了快捷便利的良好体验,另一方面也带来了严峻的信息安全挑战.随着计算机网络技术的飞速发展,网络的开放性、共享性、互连程度随之扩大。信息网络已经成为社会发展的重要保证。信息网络涉及到国家的政府、军事、文教等诸多领域,存储、传输和处理的许多信息是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、
10、能源资源数据、科研数据等重要的信息。其中有很多是敏感信息,甚至是国家机密,所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等).网络的安全性和可靠性已成为不同使用层次的用户共同关心的问题。人们都希望自己的网络系统能够更加可靠地运行,不受外来入侵者干扰和破坏.所以解决好网络的安全性和可靠性问题,是保证网络正常运行的前提和保障。无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。所以,计算机网络必须有足够强的安全防范措施.无论是在局域网还是在广域网中,网络的安全防范措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保
11、密性、完整性和可用性。本文就从“攻击”和“防范这两个方面来对网络进行研究。阐述目前计算机网络中存在的安全问题及计算机网络安全的重要性.对现有网络安全的威胁以及表现形式做了分析与比较,对为加强安全应采取的应对措施做了较深入讨论,并描述了本研究领域的未来发展走向。让人们明白各种网络攻击的原理与防范的方法。从而减少因网络安全问题所产生的损失。1.2 研究目的与意义1.2.1 研究目的随着信息化进程的深入和互联网的迅速发展,人们的工作、学习和生活方式正在发生巨大变化,效率大为提高,信息资源得到最大程度的共享.但必须看到,紧随信息化发展而来的信息安全问题日渐凸出,如果不很好地解决这个问题,必将阻碍信息化
12、发展的进程。随着移动互联网技术的飞速发展,信息网络已经成为社会发展的重要保证。有很多是敏感信息,甚至是国家机密,难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。所以,信息的安全是一个非常严峻的问题。1.2.2 研究意义信息安全问题已成为社会关注的焦点.特别是随着Internet 的普及和电子商务、政府上网工程的启动, 一方面, 信息技术已经成为整个社会经济和企业生存发展的重要基础, 在国计民生和企业经营中的重要性日益凸现; 另一方面, 政府主管机构、企业和用户对信息技术的安全性、稳定性、可维护性和可发展性提出了越来越迫切的要求, 因此, 从社会
13、发展和国家安全角度来看, 加大发展信息安全技术的力度已刻不容缓。2 移动互联网的发展及未来发展趋势2.1移动互联网概述随着Web应用技术的不断创新和宽带无线移动通信技术的进一步发展,移动互联网业务的发展将成为继宽带技术后互联网发展的又一推动力,使得互联网更加普及,并以其随身性、可鉴权、可身份识别等独特优势,为传统的互联网类业务提供了新的发展空间和可持续发展的新商业模式、从最初简单的文本浏览、图铃下载等业务发展到当前的与互联网业务深度融合的业务形式,移动互联网业务正在成长为移动运营商业务发展的战略重点。2。1.1移动互联网的定义移动互联网是移动和互联网融合的产物,继承了移动随时随地随身和互联网分
14、享、开放、互动的优势,是整合二者优势的“升级版本”,即运营商提供无线接入,互联网企业提供各种成熟的应用。移动互联网被称为下一代互联网web3.0。比如dropbox,uDrop这类应用就是典型的移动互联网应用。移动互联网业务和应用包括移动环境下的网页浏览、文件下载、位置服务、在线游戏、视频浏览和下载等业务。随着宽带无线移动通信技术的进一步发展,移动互联网业务的发展将成为继宽带技术后互联网发展的又一个推动力,为互联网的发展提供一个新的平台,使得互联网更加普及。并以移动应用固有的随身性、可鉴权、可身份识别等独特优势,为传统的互联网类业务提供了新的发展空间和可持续发展的新商业模式;同时,移动互联网业
15、务的发展为移动网带来了无尽的应用空间,促进了移动网络宽带化的深入发展.移动互联网业务正在成长为移动运营商业务发展的战略重点。2。1。2移动互联网的特点“小巧轻便”及“通讯便捷”两个特点,决定了移动互联网与PC互联网的根本不同之处,发展趋势及相关联之处.可以“随时、随地、随心地享受互联网业务带来的便捷,还表现在更丰富的业务种类、个性化的服务和更高服务质量的保证,当然,移动互联网在网络和终端方面也受到了一定的限制。与传统的桌面互联网相比较,移动互联网具有几个鲜明的特性:(1)便捷性和便携性。移动互联网的基础网络是一张立体的网络,GPRS、3G、4G和WLAN或WIFI构成的无缝覆盖,使得移动终端具
16、有通过上述任何形式方便联通网络的特性;移动互联网的基本载体是移动终端。顾名思义,这些移动终端不仅仅是智能手机、平板电脑,还有可能是智能眼镜、手表、服装、饰品等各类随身物品。它们属于人体穿戴的一部分,随时随地都可使用。(2)即时性和精确性.由于有了上述便捷性和便利性,人们可以充分利用生活中、工作中的碎片化时间,接受和处理互联网的各类信息。不再担心有任何重要信息、时效信息被错过了.无论是什么样的移动终端,其个性化程度都相当高。尤其是智能手机,每一个电话号码都精确的指向了一个明确的个体.是的移动互联网能够针对不同的个体,提供更为精准的个性化服务.(3)感触性和定向性.这一点不仅仅是体现在移动终端屏幕
17、的感触层面。更重要的是体现在照相、摄像、二维码扫描,以及重力感应、磁场感应、移动感应,温度、湿度感应等无所不及的感触功能.而基于LBS的位置服务,不仅能够定位移动终端所在的位置。甚至可以根据移动终端的趋向性,确定下一步可能去往的位置。使得相关服务具有可靠的定位性和定向性。(4)业务与终端、网络的强关联性和业务使用的私密性.由于移动互联网业务受到了网络及终端能力的限制,因此,其业务内容和形式也需要适合特定的网络技术规格和终端类型。在使用移动互联网业务时,所使用的内容和服务更私密,如手机支付业务等。(5)网络的局限性:移动互联网业务在便携的同时,也受到了来自网络能力和终端能力的限制:在网络能力方面
18、,受到无线网络传输环境、技术能力等因素限制;在终端能力方面,受到终端大小、处理能力、电池容量等的限制.以上这五大特性,构成了移动互联网与桌面互联网完全不同的用户体验生态。移动互联网已经完全渗入到人们生活、工作、娱乐的方方面面了。2。1。3移动互联网与互联网的区别与联系什么是移动互联网?对此,业界有两种观点,一种观点认为移动互联网是互联网的延伸;另一种观点认为,移动互联网是互联网的发展方向。本文在这里对移动互联网和互联网的优劣势做了个简单的比较,如表1-1.表1-1移动互联网和互联网的优劣势比较移动互联网互联网优势1)用户可以随时随地通信;2)移动用户身份保持静态且唯一;3)用户习惯于为业务的使
19、用付费,多为前向收费模式;4)移动用户的位置信息易于获得。1)业务和内容极大丰富;2)依托计算机强大的计算能力和输入、输出能力;3)不存在电池续航问题,可以长时间上网。劣势1)业务和内容的相对匮乏;2)受限于终端的计算能力、输入输出能力;3)电池续航能力差。1)用户易于隐藏真实身份;2)内容多以免费为主,开发商多选择后向收费模式;3)用户上网需要一定的条件。2.2移动互联网的发展IT技术发展已经进入移动互联网发展的早期阶段。技术发展周期一般会持续十年时间,技术发展周期已在之前进入下一个重大计算产品发展周期,即“移动互联网”发展周期。图1为IT技术发展周期.在最近几年里,移动通信成为当今世界发展
20、最快、市场潜力最大、前景最诱人的业务之一.他们的增长速率是任何预言家都未曾预料到的。图1 IT技术发展周期2.2.1中国移动互联网的发展现状中国的移动互联网发展经历了一下上次浪潮:第一次浪潮从1999年中国移动运营商引入日本的分成模式;第二次浪潮是从2004年开始,中国移动互联网进入飞速发展的时期;第三次浪潮在2014年,最重大的变化是运营商获得了4G牌照.中国具有全球最大的移动用户群,正在进入移动互联网需求的高速增长。PC互联网从2000万到1亿用了6年,移动互联网用户从2000万到1亿用了2年。智能手机使用率、3G和4G网络覆盖率、移动上网资费的快速下降有效激发了移动互联网的高速增长。移动
21、互联网的浪潮正在席卷到社会的方方面面,新闻阅读、视频节目、电商购物、公交出行等热门应用都出现在移动终端上,在苹果和安卓商店的下载已达到数百亿次,而移动用户规模更是超过了PC用户。这让服务提供商意识到移动应用的必要性,纷纷开始规划和摸索进入移动互联网,客观上加快了移动应用市场的发展,与此同时,Andriod系统凭借开放和免费策略在中国获得了长足的发展。2。2。2移动互联网的未来发展趋势曾几何时,移动互联网还仅仅被人们视作互联网的一个分支。事实上,传统互联网和电信业巨头采取的种种战略转型举措早已深刻说明,移动互联网不单是一种时髦应用,更是一股席卷ICT领域的破坏式的创新浪潮.人民网研究院29日发布
22、2013年中国移动互联网蓝皮书,认为移动互联网在短短几年时间里,已渗透到社会生活的方方面面,产生了巨大影响,但它仍处在发展的早期,“变化”仍是它的主要特征,革新是它的主要趋势。(1)移动互联网超越PC互联网,引领发展新潮流。有线互联网是互联网的早期形态,移动互联网(无线互联网)是互联网的未来。(2)移动互联网和传统行业融合,催生新的应用模式。在移动互联网、云计算、物联网等新技术的推动下,传统行业与互联网的融合正在呈现出新的特点,平台和模式都发生了改变。(3)移动互联网商业模式多样化。成功的业务,需要成功的商业模式来支持。移动互联网业务的新特点为商业模式创新提供了空间。随着移动互联网发展进入快车
23、道,网络、终端、用户等方面已经打好了坚实的基础,不盈利的情况已开始改变,移动互联网已融入主流生活与商业社会,货币化浪潮即将到来。(4)用户期盼跨平台互通互联。目前形成的iOS、Android、Windows Phone三大系统各自独立,相对封闭、割裂,应用服务开发者需要进行多个平台的适配开发,这种隔绝有违互联网互通互联之精神。不同品牌的智能手机,甚至不同品牌、类型的移动终端都能互联互通,是用户的期待,也是发展趋势。移动互联网时代是融合的时代,是设备与服务融合的时代,是产业间互相进入的时代,在这个时代,移动互联网业务参与主体的多样性是一个显著的特征。(5)大数据挖掘成蓝海,精准营销潜力凸显。随着
24、移动带宽技术的迅速提升,更多的传感设备、移动终端随时随地地接入网络,加之云计算、物联网等技术的带动,中国移动互联网也逐渐步入“大数据”时代。 3 移动互联网环境中的个人信息及安全个人信息是进行身份识别的主要标识,在移动互联网环境中具有更广的含义,除个人基本信息外还包括了用户的消费信息。在互联网中,用户的信息还具有商品性,对于一些不法分子而言具有主要的作用,这就使得用户的个人信息具有很大的经济意义,从而导致一下不法分子会试图搜集、窃取和不合理使用用户的个人信息。如何保证自己的非人信息安全,从用户来说要严格防范,从服务提供商来说,要清楚自己的责任。3。1移动互联网环境中的个人信息目前对移动互联网环
25、境下的个人信息还没有一个较为统一的定义,但是总结各方对个人信息的定义,其共同点都认为个人信息是信息主体所拥有的能反映其特征的各种信息符号。移动互联网环境下,用户的个人信息区别于他人的个人特征信息外还包括用户的网络活动信息以及用户的网络空间存储的信息.(1)用户个人的基本信息用户在使用移动互联网的过程中,不论是用户注册、消费还是社交娱乐,都回涉及到个人信息的提供.如用户个人的姓名、性别、年龄、联系方式和家庭住址,更深入一些的还会涉及EMALL、职业、收入、学历等能够识别特定个人的信息。在网上消费的过程中还会涉及信用卡、电子消费卡、交易账号、密码等个人财产信息。这些信息一旦遭到不法分子的窃取,会使
26、用户的隐私泄露,严重会有重大的经济损失。(2)用户个人网络活动信息用户在使用移动互联网的过程中,必定会浏览网页或是使用某种应用,这种网络活动也是一种个人信息.这些网络活动信息可以直接的反映用户的网络浏览踪迹,比如该用户在购物网站浏览过的一些的商品,那么一些商家就可以利用这些信息分析该用户的喜好和消费习惯,从而推荐某些商品给这位用户谋求利益.(3)用户个人网络空间储存的信息用户的个人网络空间大致分为实体空间和虚拟空间。实体空间包括用户的手机、平板电脑、移动硬盘和U盘等存储设备。虚拟网络空间包括用户的电子邮箱、网络硬盘等。在这两类空间里,都回保存用户的个人信息以及与之有关的各类信息。不法分子就是通
27、过木马病毒等技术手段,盗取在用户在手机、网盘中的各类个人信息。3.1.1移动互联网环境中个人信息的性质在信息社会,个人信息已经商品化,已经逐渐演变成一种财产和社会资源,能够产生巨大的社会经济效益。在移动互联网环境下,对于商家来说,其对用户个人信息的搜集和分析能够更好的了解市场发展趋势、用户对于应用的需求,从而给用户更为完善的服务,从中得到更多的利益。一些商家也通过对其所掌握的用户个人信息同其他商家或个人交换从中牟利。商家获得更多的消费者信息的基础是不断发展的信息技术。可以说网络技术的发展使个人信息的搜集更为容易,促使个人信息具备了商品交换价值。3。1.2移动互联网环境中个人信息的重要性对公民个
28、人信息的获取可能恶搞导致对公民人身安全和生命权的侵害.个人信息与人的日常生活密切相关,尤其在移动互联网环境下,用户的移动设备中储存的个人信息日益增多,但人们对这些信息的安全防范缺少防范意识,容易遭到窃取。但一个有犯罪意图的人获得其他人的家庭住址、家庭成员、工作单位,尤其是通过移动设备中GPS功能获取的用户当前位置信息等比较隐秘的个人信息后,会采取盗窃、绑架等行为,在这个过程中往往会造成受害人的人身伤害甚至导致生命权的丧失。财产权是公民对其神圣不可侵犯的合法财产所享有的占有、使用、处分、牟利的权利.当人们的财产信息被泄露时,其财产权即受到了侵犯.在移动互联网环境下,通过移动终端的网络交易越来越频
29、繁,网络诈骗受害的人数呈大幅上升的趋势,除了个人安全意识的薄弱,大都因为个人信息的泄露导致防范意识下降.3。2移动互联网环境中的个人信息安全个人信息是指能识别特定某人特征的信息。在移动互联网环境下还包含用户的网络活动信息和空间存储信息。因此,个人信息安全的内涵更广,它包含了通信设备、操作系统的稳定性、安全性,个人信息的完整性和保密性,用户在使用移动互联网过程中的安全性以及终端厂商、系统平台、互联网应用和运营服务商为保证个人信息不受侵害所采取的保护行为。3。2。1用户对个人信息拥有的权利(1)用户对个人信息被搜集的知情权移动互联网环境下,应用的安装会提示用户该应用在设备中搜集信息的权限。用户有权
30、知道是谁用了什么方式搜集了哪些个人信息,这些信息优势以怎样的一个形式展现在他人面前,被收集的信息将用于什么目的.因此,商家在搜集用户个人信息之前,应该告知用户,征得用户的同意.(2)用户对个人信息的拥有控制权在移动互联网环境下,用户对自己的个人信息拥有“合理的访问权限”,可以通过合理的途径访问和查阅自己的个人信息,如购物网站的交易记录、浏览记录。用户对这些信息拥有自主权,有权对这些信息进行修改和删除,从而保证个人信息的相对准确性和完整性。(3)用户个人信息的请求权随着信息技术的不断发展,移动互联网环境下个人信息必然存在安全隐患。用户的个人信息有可能被人为的披露或被窃取以及故意的篡改或恶意的删除
31、,也有可能由于技术上的缺陷或操作失误导致个人信息的丢失。这些都会造成对用户个人信息安全的威胁。因此,为了个人信息的安全,必须赋予用户以安全请求权。用户有权要求个人信息的获取者采取具体措施和技术手段保证个人信息的安全性和完整性.3.2.2 个人信息相关的法律法规(1)中华人民共和国宪法 第四十条中华人民共和国公民的通信自由和通信秘密受法律的保护.除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密.(2)中华人民共和国民法通则第一百条公民享有肖像权,未经本人同意,不得以营利为目的使用公民的肖像。(
32、3)中华人民共和国邮政法第四条通信自由和通信秘密受法律保护。除因国家安全或者追查刑事犯罪的需要,由公安机关、国家安全机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯他人的通信自由和通信秘密。(4)中华人民共和国计算机信息网络国际联网管理暂行规定实施办法第十八条用户应当服从接入单位的管理,遵守用户守则;不得擅自进入未经许可的计算机系统,篡改他人信息;不得在网络上散发恶意信息,冒用他人名义发出信息,侵犯他人隐私;不得制造、传播计算机病毒及从事其它侵犯网络和他人合法权益的活动。用户有权获得接入单位提供的各项服务;有义务交纳费用。3.2。3个人信息泄露的原因和后果
33、与个人信息安全相对应的一个词就是个人信息泄露。目前尚没有形成对个人信息泄露较为公认的概念。从语义上理解,个人信息泄露是指个人信息主体不愿被他人所知晓的个人信息被公开为他人所知晓.可以说,信息泄露是一种不正当的信息传播行为且个人信息的泄露往往是带有营利目的的。移动互联网环境下,由于信息技术及个人信息的商品化因素,使得个人信息更容易泄露.个人信息内容的价值量是信息泄露的一个根本动力,在移动互联网环境下,用户的个人信息对商家来说是具有商业价值的,因此,一些商家会从用户个人信息的获取中谋得自身的利益,而损害的则是用户的个人利益。在信息技术不断发展的信息社会,商家能更容易、快捷地获取用户的个人信息.用户
34、个人信息的泄露将会带给其经济及生活上的不利影响。4 移动互联网个人信息安全面临的威胁目前移动终端用户数目已超过固网用户数目达到了几十亿,随着3G、Wimax、LTE等多种无线宽带技术的快速发展并推广应用,PDA、无线数据卡、智能手机等各种形式的移动终端成为黑客攻击的主要目标。针对无线终端的攻击除了传统针对PC机和互联网的攻击手段外,也有其自身的特殊性,包括:针对手机操作系统的病毒攻击,针对无线业务的木马攻击、恶意广播的垃圾电话、基于彩信应用的蠕虫、垃圾短信彩信、手机信息被窃取、SIM卡复制以及针对无线传输协议的黑客攻击等.这些新兴的无线终端攻击方式也给今后无线终端的广泛应用带来严峻挑战。4。1
35、个人信息泄露的渠道随着IP技术的高速发展,移动互联网也逐渐IP化,它把互联网中存在的所有安全威胁全部引入到移动互联网中。比如以前只在固网出现的蠕虫病毒、恶意网页推送等,如今在移动互联网中也屡见不鲜,可见移动互联网个人信息泄露的渠道也随着变得多样化。(1)用户注册和登陆用户在使用移动互联网过程中,无论是使用软件还是网上娱乐、购物都要进行注册,注册必然会提供个人相关信息。对于用户而言,提供个人基本信息存在一定的安全隐患,因为网站或软件开发者可能会滥用用户的个人信息进行不合理甚至是违法的活动。在网上提供个人信息存在一定的安全风险,首先用户不知道网站会如何利用这些信息,也不能保证这些信息不会遭到泄露。
36、如今,大多的网络诈骗都是利用这些个人信息的泄露进行诈骗的,所以一旦信息遭到泄露,很容易使用户遭受侵犯、财产遭到损失。(2)网页浏览用户在使用移动互联网进行网页浏览时,浏览器在用户每次访问网页等相关内容时都会在网络服务器的日志上留下记录.这些服务器日志会记录下用户的IP地址、传递查询的URL等信息。用户在网络浏览的过程中会产生cookie文件,网络服务器会使用cookie来标记带有识别信息的网络浏览器来帮助用户获得更快捷的浏览体验。但是黑客可以通过cookie在对用户进行跟踪,也就能得知用户的浏览记录等详细信息。(3)网络支付网络支付,就是用户在网上购物的交易过程中,将自己的账户资金通过网络支付
37、的一个过程,将负载有个人基本信息和财务信息的电子支付工具用于资金结算和流转.一些传统的盗号木马、钓鱼网站、新型交易劫持木马,可以在用户完成付款流程后发现商家并未受到付款,以盗取用户账户中的资金和信息,这种方式及其隐蔽,用户没有防范技术很难提防。(4)网络攻击“黑客”(Hack)对于大家来说可能并不陌生,他们是一群利用自己的技术专长专门攻击网站和计算机而不暴露身份的计算机用户,但是随着移动互联网的发展,黑客的也由互联网慢慢转移到移动互联网。由于黑客技术逐渐被越来越多的人掌握和发展,目前世界上约有20多万个黑客网站,这些站点都介绍一些攻击方法和攻击软件的使用以及系统的一些漏洞,因而任何网络系统、站
38、点都有遭受黑客攻击的可能。尤其是现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,使得黑客们善于隐蔽,攻击“杀伤力”强,是网络安全的主要威胁。而就目前网络技术的发展趋势来看,黑客攻击的方式也越来越多的采用了病毒进行破坏,它们采用的攻击和破坏方式多种多样,对没有网络安全防护设备(防火墙)的系统(或防护级别较低)进行攻击和破坏,这给移动互联网的安全防护带来了严峻的挑战。5 移动互联网攻击本章对移动互联网应用层、中间层、内核层、传感器和通信网络层的相关概念进行简单介绍,并对其面临的攻击进行描述。5.1应用层攻击5。1.1恶意代码的入侵方式移动智能终端(包括智能手机、平板电脑等)的一个共同特点是搭载操作
39、系统并可运行第三方APP。恶意代码可以随着第三方APP的安装进入移动终端系统。统计信息显示86%的Android恶意代码是嵌入到流行的APP,并重新打包实现的。Android恶意代码入侵的其他方式还包括恶意代码嵌入更新模块、利用二维码、邮件、恶意链接等形式欺骗用户下载等.iOS系统采用严格的代码审查和签名机制,攻击相对较少,但面临两个问题:1)用户必须无条件信任苹果公司;2)一些恶意应用通过代码审查发布之后,可能主动下载恶意代码。5。1。2恶意应用的攻击过程恶意应用在进入系统之后,其能力受限于操作系统的访问控制机制,因而恶意应用进入系统后的首要工作是提升自身权限.在Android系统中,系统资
40、源的访问控制分为两层实现。第一层是基于用户和组的访问控制机制。每个应用在安装时,都被分配了唯一的UID,作为一个独立的用户存在。该应用拥有自己的资源,并且在访问文件系统时根据用户和组等进行资源管控。另一层是Android的Permission机制,Permission机制负责管理利用系统服务访问系统资源的行为。然而,Android系统中存在大量以Root身份运行的Daemon进程,可以利用这些进程的漏洞使恶意代码以Root身份运行。目前已知的可用于获取Root权限的漏洞包括ASHMEM、Exploid、Gingerbeak、Levitator、Mempodroid、Wunderbar、Zerg
41、Rush、Zimperlich等。以Root身份运行的程序可以绕过Android系统的访问控制机制,包括绕过或破坏在中间层实现的Permission机制。在iOS系统中,文件加密被用于系统数据的访问控制。NAND中整个文件系统部分都用单个密钥EMF!进行加密,EMF!保存在存储设备的PLOG块1中。文件系统中的每个文件采用一个唯一密钥加密,一旦文件被删除,唯一密钥也会丢弃.保护等级密钥是基于访问策略打开文件的主密钥,加密文件的密钥采用保护等级密钥加密.iOS系统的基于加密的文件访问控制需要高性能的密码硬件协助实现。突破iOS的访问控制需要突破这种密码访问控制体系,即俗称的越狱。5。2中间层攻击
42、中间层是移动终端内核层和应用层之间的一层软件栈,通常包括系统运行需要的核心库文件、关键系统服务代码等。攻击中间层软件栈,可以让恶意代码直接面对内核,从相对底层获取更多的系统资源,提高攻击效率.本节主要从Android Permission、应用代码签名、代码控制流等方面介绍相关攻击。5.2。1 Android Permission攻击Android应用程序在安装时向用户申请相关Permission,然后系统会将该Permission导入系统核心进程中维护.一旦应用程序向系统服务申请资源访问,在提供具体服务之前,系统服务会向核心进程检查该应用是否被授予相关Permission。在系统启动过程中,
43、核心进程会从配置文件package。xml导入应用的Permission列表,因而一种Permission攻击方式是修改配置文件提升自身的Permission。由于配置文件受到文件系统的访问控制保护,因而实现该攻击需要Root权限。另一种Permission攻击是合谋攻击。具体实现方式分为两种:1)某些高权限的应用可能有意或无意开放了调用接口,恶意应用调用该接口,间接实现高特权的功能;2)攻击者将攻击所需要的权限分散在多个应用中,一旦多个应用安装成功,几个应用通过合谋,完成恶意操作。5.2。2 应用代码签名攻击Android在中间层采用了代码自签名机制,允许第三方APP进入终端系统.如果应用在
44、设备上安装成功,仍然能够对它的代码进行随意更改,那么应用程序控制流程的完整性将遭到破坏。在Android应用安装时,会对安装程序各部分进行摘要计算、签名比对等过程,但是在启动已安装的应用时,不会进行重新计算,只进行比对时间戳等操作。对代码签名的攻击可以通过伪造时间戳实现。这样可以在不被系统签名机制察觉的情况下,向应用程序中添加恶意代码。但是普通用户无法对上述文件进行操作,因而上述攻击只有Root用户可以成功。除了上述方式外,还可以通过修改中间层代码层的实现绕过签名机制.5。2.3代码控制流攻击Android基于Linux内核,提供了一个进程控制另一个进程的手段,如ptrace系统调用。利用pt
45、race可以实现进程劫持,允许父进程控制子进程或者高权限用户的进程控制其他目标进程,从而改变目标进程的执行流程。一方面,注入的代码可以修改目标进程的运行时环境,比如修改dalvik虚拟机的关键入口函数,达到动态监控的目的.另一方面,由于注入的代码处于目标进程地址空间,它可以利用目标进程的所有权限,读取目标进程的私有数据,完成非法操作.如目标进程申请了android。permission。SEND_SMS,注入代码就可以通过发送短信定制付费服务,达到恶意扣费目的.更进一步,Android系统内有大量的系统服务,一旦系统服务进程被劫持,使用该系统服务的任何进程将不再可信。. iOS系统在越狱的情况
46、下,存在类似Android的代码控制流攻击。由于iOS系统的非开源性,相关科研人员试图从其他角度对iOS架构的安全性作评估。其中一个思路是分析同一款应用的iOS版本和Android版本,比较二者使用安全相关API(Security sensitive API)的数量.通过对2600余款应用的分析,发现iOS应用使用了较多的安全相关API,这从侧面反映iOS的代码审查机制在保护敏感资源上可能不如Android的Permission机制更有力。5.3内核层攻击移动终端系统大多数采用ARM处理器,类似于x86架构,ARM处理器也支持多个运行模式.应用代码运行在用户模式,内核代码运行在内核模式。不同模
47、式之间的硬件隔离使得从用户模式直接发起攻击难度较大.5.3。1加载内核模块Linux允许用户在运行时将模块整合到内核中,如设备驱动。一旦恶意代码被加载进入内核,它就拥有内核的所有特权,具有直接访问系统硬件资源的能力,可以绕过上层的安全机制。比如借助kprobes,可以实现系统调用劫持的目的.这种攻击方式在实现上有一定难度。主要原因是移动终端设备的OEM厂商不必考虑灵活地添加外设,因而普遍缺乏对LKM的支持.5.3.2内核漏洞移动终端系统可能出现内核漏洞。一方面,内核结构的复杂性和庞大的规模使其包含安全漏洞的可能性大增。另一方面,内核代码包含了大量的硬件参数等信息,通常由OEM厂商发布。但是目前
48、移动终端,特别是Android平台,品牌、设备繁多,存在着严重的碎片化问题,无法保证及时地发布安全更新。因此,随着移动终端的发展,利用内核漏洞发起攻击的概率将不断增加。5。4物理层攻击移动终端系统包含了丰富的传感器资源,比如MIC、摄像头、GPS、重力传感器等。包含传感器的移动终端设备称为Mobile CyberPhysical System.由于移动终端通常与用户绑定,用户当前物理世界的信息可以被传感器实时地转换为数据。一旦传感器资源被滥用,用户当前的隐私信息就会通过传感器的转换和通信基础设施的传输被敌手获得。除了上述攻击方式,传感器资源还被用来进行更为精密的信息窃取.Roman Shclegel等人提出并实现了一个基于音频的用户隐私信息窃取攻击。PlaceRaider是一个视频信息窃取攻击.通过完全控制终端设备的摄像头和其它传感器资源,PlaceRaider可以构建出用户所在空间的三维立体模型。攻击者可以通过Plac
浙ICP备2021020529号-1 | 浙B2-20240490 
