CCF_2016年第1期_移动智能终端的软件安全

  近年来我国移动互联网产业发展迅速,网络用户规模不断扩大。同时,移动智能终端市场也快速增长,来自工业和信息化部的报告显示,中国已经成为全球最大的移动智能终端市场,根据国际数据公司(International Data Corporation, IDC)发布的数据显示,2014年全球智能手机出货量超过13亿台。而据中国互联网络信息中心的报告显示,截至2015年6月,中国的手机用户数量已达5.94亿。在这样的背景下,移动智能终端和移动互联网络将会是未来产业的焦点和发力点,移动智能终端的安全研究逐渐成为国内外备受关注的新兴前沿研究热点之一(《移动智能终端的软件安全》)。

专题文章:
  1.《安卓设备数据存储安全研究进展》为提高数据存储的安全性,谷歌的安卓6.0系统把移动设备的全盘加密作为标准配置,为用户数据的存储提供了更安全的保障。目前的全盘加密技术已经能够有效地抵抗离线攻击,但密钥存储方面的缺陷仍为“冷启动攻击”提供了空间。本文从防御保护和攻击两个方面进行分析,全面介绍了安卓全盘加密的原理和发展历程;同时对破解安卓全盘加密功能的新攻击方式——“冷启动攻击”进行了详细介绍;并指出经过全盘加密后,用户数据分区充满了随机形式的数据,有利于在其中嵌入隐藏卷,为可抵赖加密提供了广阔的舞台,预计未来几年内,基于安卓全盘加密的可抵赖加密将会成为数据安全存储领域的一个新的研究热点。
  2.《移动终端安全新挑战:感知能力的安全问题与应对》传感器是智能终端实现智能化的重要基础。今天的移动终端前所未有地集成了大量的传感器,包括摄像头、麦克风、陀螺仪、距离传感器、加速度传感器等,使得移动终端拥有了丰富的感知能力。移动终端的普及极大地改善了用户对移动应用的体验,但安卓和iOS在初期设计中对感知安全考虑不够,在移动互联环境提供的即时在线能力的影响下,移动终端所面临的攻击面也有所改变。本文全面分析了移动终端感知安全问题与挑战,介绍了国际前沿的主要研究现状,并对终端感知安全问题的应对提出了建议,认为既要设计合理的自适应安全管控模型,也要优化在移动终端性能受限环境下的安全管控算法和自动策略管理方法的性能。
  3.《汽车智能化的安全思考》智能汽车和自动驾驶是智能终端在未来车载网络应用领域的热点。工业界和学术界围绕这一方向进行了大量的研究,包括谷歌的智能驾驶、百度的“百度大脑”等,越来越多的成熟技术可以被直接融合到汽车里,极大地加速了汽车智能化的发展。可以说汽车已经成为“有轮子的计算机”。车载系统无论在科技含量还是运算能力方面,均达到前所未有的水平。但与此同时,官方车载计算机系统极易遭黑客入侵也是事实。汽车的安全性与驾驶者的生命安全紧密相连,针对智能汽车的安全问题,本文系统地总结了智能化汽车所面临的安全问题,包括攻击接口、威胁模型、可行的和已有的安全保障方法,并提出安全防护的建议。文章认为,防御汽车攻击确实具有相当的难度,但我们不应该等事故发生了才做出改变,因为没有哪一个消费者该拿生命为汽车厂商的冒进和疏漏买单。汽车行业迫切需要规范电子系统结构的设计,并对有风险的接口做好信息隔离,为核心动力操控系统建立“信任区(trust zone)”。
  4.《移动平台用户隐私保护技术》在移动智能终端出现爆发式增长的同时,聚集了大量高附加值信息和资源的移动应用也在蓬勃发展。这些信息和资源包含个人的手机、身份、地理位置、账号、邮件、文件等敏感信息。移动平台的高度互联性将用户轻易暴露在攻击者的威胁之下,加上受政治、军事和商业利益驱使,针对移动终端系统的攻击行为层出不穷,针对个人隐私的窃取又是其中的重灾区。面对移动互联网用户隐私保护的严峻形势,隐私泄露的检测和保护近年来越来越受到关注。随着隐私泄露研究的深入展开,近年来研究者们逐渐意识到传统的隐私泄露定义并不准确。而该定义的不精确和不完整限制了隐私泄露检测技术的效率和效果。本文介绍了其团队在相关领域上的重要进展,提出了一种判断隐私泄露的方法:通过判断敏感信息传输是否出于用户本身的意图输出对其进行甄别,认为应用程序对敏感数据的传输是不是在泄露隐私,取决于它是否满足用户的意图。
  5.《移动数字取证技术》无线通信技术和智能终端应用的普及带来了诸多安全问题。针对智能终端的犯罪活动愈演愈烈,攻击手段不断发展,花样翻新,犯罪人员利用移动互联网获取个人隐私和财产信息、盗取国家机密、攻击金融基础设施,等等。对这些犯罪行为的侦审绝大部分涉及移动数字取证。本文指出移动数字取证包含移动设备取证、移动系统取证、移动网络取证和移动应用取证四个方面。文章阐明了基于iOS和安卓系统的数字取证技术及其特点;介绍了移动网络下数字取证的基本手段和技术;总结了移动应用取证的基本特征;并指出,智能移动终端数字取证技术将成为数字取证的主流之一。