潘娟，袁广翔

（中国信息通信研究院，北京 100191）

1 引言

智能终端的主要特点是可以从网络下载安装应用软件来为用户提供信息服务。目前，智能终端不仅可以从网络上下载安装应用软件，而且可以通过与网络侧的云服务紧密结合，形成“端-管-云”的业务架构，向用户提供更丰富的信息服务，尤其是具有无线蜂窝网络接入能力的移动智能终端，让用户能够随时随地享受信息服务，智能手机就是现在应用最为广泛的移动智能终端产品。随着4G技术的发展和应用，无线蜂窝网络传输速度更快，可支持开展的高速率网络服务更多，能显著改善用户的智能手机体验，智能手机正在深刻地改变着人们的工作、生活方式。

随着宽带无线通信、集成电路、智能终端操作系统等领域技术的快速进步，智能终端的通信、计算、存储等能力迅速得到提升，全球智能终端市场快速发展，出货量持续攀升。从2010年起，我国智能终端市场规模爆发式增长，每年智能手机的出货量已经大幅超过功能机，成为手机市场的绝对主体和全球智能终端出货量增长的主导力量。2014年12月，工业和信息化部电信研究院发布的《2014年12月国内手机市场运行分析报告》显示，12月国内手机市场整体出货量为4 511万部，其中智能手机出货量3 832.8万部，市场占有率85%。从2014年全年统计来看，全年国内手机市场累积出货量为4.52亿部，其中智能手机出货量为3.89亿部，市场占有率达到86%。目前，我国拥有12亿手机用户，其中大部分都是智能手机用户，新入网的移动用户更多地选择购买智能手机，用户的换机频率日益提高。可以预见，未来智能手机仍然存在较大的市场空间，手机型号将更为丰富，出货量、市场占比、用户数仍将持续攀升。

近年来，可穿戴终端、车载信息终端、智能家居、智能医疗保健终端等新形态智能终端不断出现，其中最具代表性的是可穿戴终端。虽然目前可穿戴终端产业规模较小，出货量占全球智能终端出货量的比例很低，但它吸引了业界的关注，已有一系列产品进入市场，如智能手表、智能手环等。有预测认为，到2018年全球可穿戴终端的出货量将到达2.1亿部，市场规模将达到300亿美元。

2 移动智能终端安全威胁

在智能终端广泛应用和移动互联网产业蓬勃发展的同时，智能终端的安全问题日益凸显，与智能终端相关的恶意吸费、偷跑流量、个人信息窃取、系统破坏等安全事件频发。经研究发现，导致这些安全事件发生的主要原因是由于智能终端自身安全防护能力不足，用户安装了带有恶意行为的应用软件，这些应用软件在用户不知情的情况下发送短信、订购服务、后台走流量、读取并发送用户个人信息等，损害了用户权益，甚至还威胁到国家安全，这不仅造成了不良的社会影响，还严重影响了用户的信心。未来，智能终端类型和应用更加丰富，用户在终端上存储的信息和开展的业务将更多，安全威胁将不断增大，安全形势将更加严峻，国家、产业和个人都迫切要求提高智能终端的安全水平。

（1）智能终端操作系统敏感权限滥用

智能终端的核心是操作系统，操作系统将终端的各种能力抽取形成API接口开放给第三方应用软件开发者，开发者利用这些开放的能力开发应用软件，并通过应用商店上架这些应用，供给用户进行下载使用。目前智能终端操作系统所开放的能力中包含一些与用户资费、隐私相关的API，如拨打电话、发送短信、建立网络连接、读取联系人、拍照、定位、录音等，这些敏感API如果被开发者恶意滥用就会造成用户权益损害，带来恶意扣费、隐私窃取、远程控制等安全问题。据统计，目前约80%的恶意应用软件都是通过调用智能终端敏感API来实施恶意行为。因此，对敏感API进行管控是限制恶意应用软件在终端上实施恶意行为的有效技术方法。

（2）应用软件难溯源

智能终端主要通过下载应用软件来为用户提供服务，但是目前整个移动互联网产业链缺乏对应用软件的管理和认证，用户无法获取所下载的应用软件的开发者、检测机构、发布渠道等相关信息，也无法评估应用软件的可信度，造成各类恶意应用软件广泛传播。目前，Android、iOS、Windows Phone等平台都对用户下载安装的应用软件提出数字签名的要求，但Android平台仅要求应用软件开发者自签名，而未对签名的真实性进行验证，造成实际上基于Android平台开发的应用软件签名真实性无法保证、软件信息无法溯源，许多应用软件在流通环节被植入恶意代码和重打包后提供给用户下载使用。因此，有必要建立应用软件第三方认证签名体系，确保签名信息真实可信，实现应用软件可溯源，打造安全的移动互联网环境。

（3）智能终端操作系统漏洞

智能终端操作系统作为一种软件不可避免地存在软件产品普遍存在的漏洞问题。软件漏洞是软件在开发时，由于开发者的疏忽或编程语言的局限性，导致软件存在一些缺陷。智能终端操作系统上的漏洞可能导致终端无法正常运行，有些缺陷可能会造成终端管理权限被非法获取或者安全防护措施被绕过，这类漏洞会降低产品安全性，导致严重的安全问题。目前，智能终端厂商已经开始重视终端安全问题，从智能终端的架构、能力、功能等方面不断提升产品的安全性，但对产品漏洞的及时发现和修补的重视程度还不够，造成很多正在使用的智能终端还存在较为严重的安全漏洞。

（4）智能终端操作系统后门

智能终端操作系统后门程序是智能终端面临的另一个极为敏感的安全问题。后门程序一般是指那些绕过程序或系统已有的安全措施而获取对程序或系统访问权的程序方法。在软件开发阶段，程序员有时会在软件内创建后门程序以便可以修改程序设计中的缺陷。如果这些后门程序被他人获知，或在软件发布之前没有删除后门程序，那么后门程序就可能被黑客利用进行攻击，成为安全隐患。还有些后门程序可能是开发者故意设置，为了以后利用后门程序实施信息采集、远程控制等行为。由于后门程序都是程序员自主设计，有的隐蔽性非常强，通过技术手段直接发现后门程序的难度很大。但由于后门程序权限高、危害大，通过国家层面对重要领域使用的智能终端开展后门程序检查，这对保障国家安全具有重要的意义。

3 已开展的工作

目前，80%左右的智能终端安全事件都与终端操作系统敏感API滥用有关。为提高智能终端自身安全防护能力，工业和信息化部于2013年4月发布了《关于加强移动智能终端进网管理的通知》，明确了移动智能终端须遵守的基本安全要求。为了配合该通知的落地执行，CCSA（中国通信标准化协会）制定了YD/T 2407-2013《移动智能终端安全能力技术要求》和YD/T 2408-2013《移动智能终端安全能力测试方法》这2项行业标准。该2项标准从智能终端操作系统、外围接口、应用软件、用户数据等方面提出安全能力要求，重点是对操作系统敏感API调用权限提出管控要求，确保用户对应用软件调用敏感API行为可知可控。标准将终端安全能力分为五级，申请进网的移动智能终端须达到一级安全能力要求。

通过进网安全检测的移动智能终端均具备对敏感API的管控能力，能够有效限制现有大部分恶意应用软件的恶意行为。如2014年一款名为“XX神器”的手机病毒在全国范围爆发，该病毒通过后台读取用户通讯录，并向通讯录中的每个联系人发送带有该病毒下载链接地址的短信，以欺骗更多的用户下载该病毒。经验证，通过进网安全检测的智能手机能够有效防范该病毒。当病毒后台读取用户通讯录时，手机将提示用户此行为，并询问用户是否同意，仅当用户同意后，该操作才能继续执行。即使用户不慎同意病毒读取通讯录，当病毒企图通过后台向通讯录中联系人发送短信时，手机将再次提示用户，并询问用户是否同意。事实证明，通过此种让用户对敏感操作可知可控的方式，确实可以有效防范滥用敏感API类恶意软件在手机实施恶意行为。通过进网安全检测智能手机安全防护示例如图1所示。

4 应对措施

图1 通过进网安全检测智能手机安全防护示例

为进一步降低智能终端面临的安全威胁，还需从智能终端安全标准、移动应用数字签名、终端检测认证、加强行业协作等方面开展相关工作，不断提高终端安全防护能力，减少恶意应用，保障用户权益。

（1）制定完善的智能终端标准

智能终端安全标准是提升终端安全能力的重要技术依据，要根据技术发展和应用情况及时制定完善的终端安全标准，引导产品研发和产业发展。针对智能终端在个人信息保护、保密通信、用户访问控制等方面面临的安全风险开展研究，不断制订完善的智能终端安全标准，重点对智能终端上的数据保护、后台服务、网络连接等提出相应的安全技术和管理要求。同时，对可穿戴智能终端、物联网终端、车载信息终端、可信终端等新型智能终端设备有针对性地研制安全技术标准，明确其在保护用户数据、保障业务安全方面的技术要求。

（2）建立应用软件可追溯体系

移动应用数字签名与认证机制是建立应用软件可追溯体系和移动互联网可信应用环境的重要技术手段。整个体系的建立涉及移动应用开发者、检测机构、应用商城、智能终端厂商等多个环节。应用软件开发者使用第三方认证证书进行开发者签名，确保应用来源的可追溯；应用软件检测机构对应用软件进行安全检测，检测合格后进行检测机构签名，确保检测结果的可信性；应用商店对上架应用软件进行渠道签名，确保应用下载渠道可追溯；移动智能终端通过操作系统内置数字签名验签软件对即将要安装的应用软件签名情况进行验证，并将识别到的开发者信息、安全检测情况、流通渠道等信息真实地呈现给用户，为用户下载、安装安全可信应用软件提供指引。

（3）加强智能手机预装应用软件管理

智能手机在流通环节存在被刷机和预装恶意应用软件的情况，为了解决此问题，可要求智能手机厂商通过互联网、产品说明书等方式向用户公示所生产的智能手机上预装的应用软件，如软件名称、版本等。用户购买智能手机后，通过将手机预装应用软件与厂商公示信息进行比对，可及时发现所购手机操作系统和预装软件是否存在问题，从而减少恶意应用软件通过预装方式流入市场。为实现对智能手机预装应用软件的管理，可通过行业协会等制定智能手机预装应用软件公示相关规范要求，组织协会内的智能终端厂商开展手机预装应用软件公示。

（4）提高智能手机安全评测水平

目前，在我国上市的智能手机主要在进网检测环节接受安全检测，依据标准验证手机的安全防护能力。但是进网要求仅是一级安全能力要求，为了进一步促进智能终端安全防护水平的提升，可以通过行业协会开展二到五级的更高安全级别的安全能力检测，也可将基于《信息技术安全评估通用准则》（简称CC）的安全领域认可的安全评估方法引入移动智能终端，并建设智能终端与应用软件漏洞库，帮助厂商对产品漏洞实施有效的管理，全面降低智能终端面临的安全风险。同时，针对可穿戴型智能终端、物联网终端、车载信息终端、可信终端等，研究相应的安全评测方法和开展安全评测。针对政务、企业和特殊行业中应用的智能终端，也要结合应用场景的安全需求开展相应的安全评测，提升智能终端的安全性。

（5）促进行业协作和自律

智能终端安全不仅与终端厂商有关，还涉及移动应用开发者、应用商城、终端方案厂商、移动互联网企业、检测认证机构等。目前，国家层面已对智能终端提出了安全能力要求，通过智能终端厂商和检测认证机构来落实。但国家层面的要求仅是基本要求，为全面保障智能终端安全还需要移动互联网产业中各方的积极参与和协作，这种全产业链的合作可通过电信终端测试技术协会（TAF）等行业组织聚集产业各方，整合资源和能力，通过制定行业内规范文件，并组织协会成员以试点示范等方式实施和逐步推广，不断提高行业自律水平，共同保障智能终端安全和用户权益。

5 结束语

随着智能终端类型和数量的不断增多，恶意应用软件也将更为复杂多变，终端面临的安全威胁类型也不断增多、安全风险将持续增大。为保障国家安全和用户合法权益不受侵害，需要加快制订完善的智能终端、应用软件相关的安全标准，提高智能终端厂商、应用软件开发者、应用商城等对智能终端、应用软件安全的重视程度和技术能力，加强移动互联网产业各方的协作，通过行业协会等组织加强行业自律，开展行业内的智能终端安全规范制定、检测与认证等，打造健康、有序、安全的移动互联网生态圈。

[1] G Delac, M Silic, J Krolo. Emerging Security Threats for Mobile Platforms[C]. Opatija, Croatia, 2011: 1468-1473.

[2] 中国通信标准化协会. YD/T 2407-2013 移动智能终端安全能力技术要求[S]. 2013.

[3] 中国通信标准化协会. YD/T 2408-2013 移动智能终端安全能力测试方法[S]. 2013.

[4] 潘娟. 移动互联网时代智能终端面临安全挑战[J]. 世界电信, 2013(Z1): 91-95.

[5] 袁广翔,潘娟. 智能终端安全威胁与防护技术研究[J]. 移动通信, 2014,38(7): 25-30.