信息安全导论-第6章-移动互联网终端安全课件

1、第6章 移动互联网终端安全 Mobile internet terminal security 02移动终端身份认证安全03移动终端操作系统安全04移动终端软件安全目录05移动终端安全防护01移动终端概述06本章小结&练习移动终端概述016.1移动终端概述 伴随着移动互联网的迅速发展，移动终端产品变的也多种多样，包括智能手机、平板电脑、可穿戴设备等。 当我们利用手机等移动终端上网，打游戏，浏览网页时有可能点击链接看自己感兴趣的话题，但是这些链接安全吗？ 如图1所示： 图1 6.1移动终端概述 移动终端概述据腾讯手机管家安全专家分析，这些短信并非工商银行官方短信，而是诈骗分子通过伪基站发送的，这

2、种伪基站可以强制将其周围数十米内的用户手机订阅到自己的网络中，然后可模仿任意号码将广告、诈骗类短信群发给这些手机用户。但实际上这是一个诈骗网站，如果手机用户信以为真，随即用手机登陆短信中提供的网址，并按照网址提示输入个人银行卡卡号、密码、联系方式等信息，接着自己银行卡里的钱就会不翼而飞。6.1移动终端概述 移动终端概述截止2017年，目前全球使用移动设备的用户人数已突破50亿人，以全球人口大约75.11亿人来计算的话。也就是说全球三分之二的人都正在使用。 产业界各方都将移动智能终端作为自己进军互联网终端领域的入口，但由于自身优势和经营理念的不同，其发展模式也各不相同。按照操作系统的授权方式和应

3、用商店的运营方式，主要可以分为封闭端到端模式，半封闭模式和开源模式。6.1移动终端概述 移动终端概述 iOS是由苹果公司为移动设备所开发的操作系统，iOS操作系统的优点有：专用于iPhone手机，手机界面一致，可以统一进行升级和更新，与iOS这种完全封闭式操作系统相对应的还有半封闭式和开放式两种操作系统。半封闭模式是指操作系统厂商授权给OEM厂商或者终端设备厂商生产终端产品，但不向其开放源代码。例如微软 Windows Phone操作系统。开放开源模式以谷歌安卓 （Android）为代表，被进入终端领域的人所采用并发展极为迅猛。截止2017年Android全球市场份额已经达到90%。移动终端身

4、份认证安全026.2移动终端身份认证安全 通过对移动终端安全事件和移动互联网终端概述的了解，我们对移动互联网终端的安全有了新的认识，提高了大家在使用移动终端时的安全意识。在使用的过程中，我们通常会给终端上锁，进行身份认证，保证使用者与终端设备的所属关系。 也就是大家常用的密码、图案、指纹解锁等，但是对于每天使用的东西是否有深入的了解，通过这一节的介绍，帮助大家理解经常使用的静态密码、动态密码、指纹密码的安全性。6.2.1移动终端身份认证安全静态密码 如图所示，我们常用的移动终端密码为纯数字组成，长度为46位。这种为静态密码，通常由用户自己设定，在登录时输入正确的密码，终端就认为是合法的用户，这

5、种方式使用简单，方便用户记忆。 但是这种密码真的能保证移动终端的安全吗？6.2.1移动终端身份认证安全 静态密码四位数字总共只能产生1000种组合，这对于暴力破解来说并非难事，并且许多用户为了防止忘记密码，经常采用诸如生日、电话号码等容易被猜测的字符串作为密码。不少人为了方便记忆，将密码设置为0000、1234、1111、8888等简单密码，尤其是刚学会使用移动终端的中老年人，为了记忆，极有可能将微信支付密码和解锁密码设置的一样，如果密码被破解，后果将不堪设想。6.2.1移动终端身份认证安全静态密码 虽然静态密码使用简单，方便记忆。但是静态密码在使用的过程中容易被偷看、监听猜测、较容易被暴力破

6、解，因此静态密码的安全性较低，存在下面6个问题。6.2.1移动终端身份认证安全静态密码（1）静态密码创建 在静态密码被创建时，用户为了自己方便记忆，会使用自己熟悉或者简单的数字组合，容易给别人可乘之机，尤其是了解自己的人面前，密码基本是摆设，比如朋友、舍友、家人等，通常他们拿过自己的手机，随便试几个密码，就能解开自己的手机，虽然害人之心不可有，但是防人之心不可无。6.2.1移动终端身份认证安全静态密码（2）静态密码验证密码是怎样被验证来说明确实是真实使用的用户？通常，密码采用缓存技术，因此旧的或非法的密码可以代替正确的口令使用，只要缓存中存在，密码就可以被匹配。6.2.1移动终端身份认证安全

7、静态密码（3）静态密码存储 密码在程序中是怎样被存储的？有四个级别的存储：明文、加密、隐藏明文，隐藏并加密。在过去许多软件工具已经采用简单的加密存储，但他们一般采用强度不高的加密或允许从系统外获得文件。 一些简单的强行破解程序很容易解密。许多流行的程序的破解程序已经被开发出来了。6.2.1移动终端身份认证安全静态密码（4）静态密码输入用户在输入密码时，也会存在安全风险。 一方面，通过终端键盘上的手势就大致能够猜出输入的口令。另一方面，通过植入木马程序，或者终端键盘监控程序，可以将用户输入的密码记录下来。6.2.1移动终端身份认证安全静态密码（5）口令猜测用户的静态密码长度是有限的，很容易通过字

8、典攻击的方式进行破解。6.2.1移动终端身份认证安全 静态密码（6）风险大小 静态密码的风险成本极高，一旦泄密将可能造成无法挽救的损失。并且在损失发生之前，用户都不会发现静态密码已经泄露。 基于上述考虑，通常不建议使用静态密码的方式进行对移动终端进行加密，除非在不会有任何损失的前提下，可以使用静态密码。6.2.2移动终端身份认证安全动态密码 动态密码认证就是在登录过程中加入不确定因素，使每次登录时传送的认证信息都不相同，以提高登录过程安全性。动态密码认证技术消除了静态密码认证技术的大部分安全缺陷，能有效抵抗静态密码认证技术所面临的主要安全威胁和攻击，特别是能有效抵御网络窃听、截取、社交工程等攻

9、击。对于终端来说，常见的动态密码有短信密码、动态口令牌、手机令牌三种。6.2.2移动终端身份认证安全动态密码（1）短信密码 是以手机短信形式发送的6位随机数的动态密码6.2.2移动终端身份认证安全动态密码（2）动态口令牌。 当前最主流的是基于时间同步的硬件口令牌，它每60秒变换一次动态口令，动态口令一次有效，它产生6位/8位动态数字，硬件令牌已经被市场接受。6.2.2移动终端身份认证安全动态密码（3）手机令牌。手机动态密码令牌是用来生成动态密码的手机客户端软件，由运行在手机上的程序产生动态口令，动态口令与手机绑定进行身份认证。6.2.3移动终端身份认证安全指纹密码如今手机成了人们日常生活中不可

10、缺少的一部分，由于使用次数比较频繁，反复输入密码或者使用动态密码，让人感觉非常不方便，有了指纹识别，只需要一秒钟就可以轻松的完成身份认证，使用户感觉快捷方便。6.2.3移动终端身份认证安全 指纹密码每个人的指纹皮肤纹路在图案、断点和交叉点上各不相同，也就是说，指纹是唯一的，并且终生不变。依靠这种唯一性和稳定性，我们就把一个人的身份和指纹相对应起来，通过比较他的指纹和预先保存的指纹，就可以验证他的身份，这就是指纹解锁的原理。移动终端操作系统安全036.3移动终端操作系统安全 移动终端操作系统安全在我们每天使用手机时，第一步进行完身份认证之后，我们才可以正常使用手机，但是手机中能使用的数据，程序是

11、如何来的呢？ 其实手机或者任何终端和计算机一样，都是因为有操作系统，我们才可以更好的使用。例如计算机有Windows7，Windows10等，而终端包括Android、iOS、Windows Phone、Symbian和Blackberry五种操作系统。但是大家常见的是Android和iOS两种操作系统，下面通过对Android和iOS两种操作系统安全性的介绍，使大家能够认识自己平常使用的操作系统是否安全。6.3.1移动终端操作系统安全Android操作系统安全目前Android系统在全世界拥有接近90%的市场份额，而94%的手机木马病毒存在于Android操作系统，主要原因有如下2个方面开放

12、性权限分离6.3.1移动终端操作系统安全 Android操作系统安全（1）开放性 Android操作系统是建立在Linux平台上一种开源码的操作系统，开放源码是指任何使用者都拥有对该系统修改和复制的权利。 所以系统自身是可以被修改的，这种开放式，虽然在一定程度上带动了市场的发展，但是也给黑客发现漏洞，利用漏洞提供了很大的便利，使他们能够对应用程序进行修改，植入木马程序等。6.3.1移动终端操作系统安全Android操作系统安全（2）权限分离 Android系统是一种权限分离的操作系统，也就是说，一个应用程序要想实现一些最基本的功能，就必须获取相应的系统权限。6.3.1移动终端操作系统安全And

13、roid操作系统安全（2）权限分离通常我们会选择把位置权限、通信权限、拍照权限等都开通，开通后会导致一定的安全隐患。6.3.1移动终端操作系统安全 Android操作系统安全从上面的内容中了解，Android系统的终端并不安全，但是人们也不能因为不安全就不再使用Android系统手机，因为没有任何系统是绝对安全的，只要人们提高自身的安全意识，采用恰当的错误，就能保护自身隐私、财产的安全。以下几点为针对Android操作系统安全隐患提高安全的建议。6.3.1移动终端操作系统安全 Android操作系统安全（1）从正规的渠道下载应用软件。由于Android操作系统是开源的，在下载应用软件时有很多安

14、全隐患，所以一定要选择可信任的第三方进行下载，通常移动终端本身自带应用商店，如果商店中找不到自己想要的应用软件，也要选择正规的下载渠道；6.3.1移动终端操作系统安全 Android操作系统安全（2）合理使用正确的权限。对于应用程序调用的权限问题，我们应该时长保持警惕，不是应用软件的每个功能都能用得到，而权限的调用是为了某个功能的正常使用，如果没有必要，不要开启不必要的权限，同时也需要对应用软件开启此权限的安全性进行评估，做出自己的判断，开了此权限会有什么样的风险；6.3.1移动终端操作系统安全 Android操作系统安全（3）下载安装杀毒软件。现在很多终端在出厂时，内置了杀毒软件，例如华为手

15、机，内置了手机管家，可以进行定时清理或者手动杀毒，在下载安装应用软件进行软件杀毒之后再进行使用，对于出厂没有带杀毒软件的终端，应该从正规渠道下载安装一个，进行实时的杀毒和检测。6.3.2移动终端操作系统安全 iOS操作系统安全iOS操作系统相对Android操作系统安全一些，因为对iOS的开发限制很多，并不会开放其源代码，并且开发工程师会时刻进行检查，一旦发现手机越狱漏洞，他们会很快会采取措施修复漏洞。这就意味着iOS比Android终端更难被攻克。但是封闭的iOS也并非绝对安全。比如去年一款间谍软件“Pegasus”，该软件利用iOS中三个“零日漏洞”入侵iPhone，可访问设备中的消息、电

16、话和电子邮件应用。另外，越狱也会增加iOS设备的安全隐患，因为用于iOS越狱的漏洞容易被恶意软件利用。6.3.2移动终端操作系统安全iOS操作系统安全不良应用可泄露用户数据。根据统计显示，证实iOS操作系统终端内置的应用程序存在泄露用户信息的问题。在App Store中的第三方应用，包括输入法、游戏等同样会拥有位置、通话等权限，使其泄露用户数据。6.3.2移动终端操作系统安全 iOS操作系统安全越狱是指开放用户的操作权限，使其拥有读写的权限。而iOS操作系统终端越狱后，会增加新的系统漏洞，破坏原有系统的完整性，植入新的程序，有可能植入木马病毒。越狱黑客使用工具会在程序中暗藏监控后门，监控用户使

17、用情况，获取信息等，并且在越狱后，用户可通过iOS应用黑市获取第三方软件，而这些软件中包含了恶意代码。6.3.2移动终端操作系统安全iOS操作系统安全 iOS操作系统终端虽然比Android操作系统终端更安全一些，但是由于iOS操作系统是一个完全封闭的系统，若发生安全问题，很难及时通知和及时处理，容易造成大的损失，所以我们在使用这些终端时，都要提高自己的安全意识。移动终端软件安全046.4移动终端软件安全我们通过身份认证进入使用的终端，并且了解了使用终端操作的安全性之后，我们更多的还是为了使用微信、QQ、支付宝这样的应用软件，使我们和人的远距离沟通更方便，生活更便捷。 可是在使用的过程中，我们

18、是否考虑过这些软件的安全性呢？通过这一节的学习，主要了解下移动终端恶意软件以及它的行为。6.4.1移动终端软件安全移动终端恶意软件 我们一般都会在手机下载一些安全防护软件，为了查杀手机中的恶意程序，但是有一款手机木马恶意篡改安全软件，后台私自发送扣费短信造成手机用户话费损失。 被恶意篡改后的手机应用界面上看与正常软件极其相似，网友如果不慎下载使用，则会造成隐私泄露、手机资费消耗等危害。6.4.1移动终端软件安全 移动终端恶意软件所谓移动恶意软件，指的就是所有能够在智能手机或者平板电脑等移动设备上执行恶意操作的应用程序。它们可能会使用户的手机向高收费号码发送短信，或是利用无用的垃圾信息骚扰联系人

19、，以及其他任何没有经过用户许可的有害行为。6.4.1移动终端软件安全 移动终端恶意软件恶意软件造成的智能手机攻击分为3个阶段。 1. 感染主机设备 2. 在主机设备上获取特权 3. 为从主机设备传播到其他设备6.4.1移动终端软件安全 移动终端恶意软件（1）感染主机设备 移动恶意软件通常都是由一些免费的游戏或程序导致的，如能够备份即时通信消息的程序，或者允许用户修改桌面背景的程序等。虽然免费软件的设计目的不是恶意的，但是其捆绑的广告等却可带来危害。 许多开发人员在捆绑广告时，往往并不清楚他们的应用程序对安全的影响。开发人员推出免费的游戏和软件，通过包含在其中的广告获得收入。广告公司可以跟踪用户

20、，描述用户概况，将收集到的信息卖给垃圾邮件制造商，获得额外利润，而开发者却一无所知。6.4.1移动终端软件安全 移动终端恶意软件（2）主机设备上获取特权 移动恶意软件安装到移动设备后，会在移动设备上获得特权，位置权限，语音权限，相机权限等都为移动设备的权限，而root权限的移动设备的最高权限，权限在移动应用中起着至关重要的作用，它为用户传递了应用的意图及后台行为。 在智能手机里，权限是明确规定的，应用者必须要申请相应的权限。但是，有些会刻意隐藏应用中使用的权限，从而导致了应用漏洞，恶意软件针对这些漏洞获取移动设备中的特权。6.4.1移动终端软件安全 移动终端恶意软件（3）从主机设备传播到其他设

21、备 恶意软件通常使用受感染智能手机提供的资源。它将使用蓝牙或红外线等输出设备，也可以使用该人的地址簿或电子邮件地址来感染用户的熟人，以及通过无线网络或数据流量与服务器端连接，将渗出数据传输到他们控制的服务器上。这样将目标数据的价值转换为金钱，从而达到攻击的目的。6.4.2移动终端软件安全移动终端应用恶意行为 右图为应用软件恶意行为排行前十名。 本节主要介绍危害比较大，也是备受恶意开发者关注的恶意扣费、山寨应用、静默下载三种恶意行为。6.4.2移动终端软件安全移动终端应用恶意行为（1）恶意扣费较为常见的扣费方式有：短信息扣费、流量扣费、彩信接收扣费、安装软件恶意扣费，因为能对用户造成巨大的经济损

22、失，所以是恶意开发者重点开发的一个项目。6.4.2移动终端软件安全移动终端应用恶意行为（2）山寨应用山寨应用是指通过盗用正版应用的图标和名称，引人上钩的应用软件。如果不是正版软件标有“官方版”字样，普通人难以分辨真伪。 随着技术的不断进步，互联网终端的安全也从最初的系统权限威胁转向对应用层入的攻击，大量山寨APP横行。6.4.2移动终端软件安全移动终端应用恶意行为（3）静默下载就是在不通知用户的情况下，后台自动下载，虽然用户可以在一边下载的情况下，一边进行其他更有用的工作，增加了办事效率，但是如果是病毒伪装成正常软件，允许了静默下载，病毒会自动安装，破坏终端。6.4移动终端软件安全 因此，不管

23、是怎样的恶意行为，最终都会导致自身经济的损失，所以我们在安装下载应用软件时，切记通过正规的渠道，从可信任的第三方进行下载安装，保护自己终端和财产的安全。移动终端安全防护056.5移动终端安全防护无论是身份认证、操作系统、应用软件，在终端上都存在着安全问题，通过学习这些安全问题，在使用终端时，需要提高我们的安全意识，作为用户面对终端，会面临什么样的威胁，我们如何通过一些手段来保护终端的安全性，也是学习这一章的主要目的之一。6.5.1移动终端安全防护终端用户面临威胁（1）隐私泄露问题 个人的网银、支付宝账号，微信、QQ 聊天记录，还有就是一些照片和文件。对于手机安全，之前有一则很吸引眼球 的新闻想

24、必大家还有印象，好莱坞影星的iPhone手机爆出“艳照门”事件等。6.5.1移动终端安全防护终端用户面临威胁（2）金钱的损失 常见的吸费、偷流量不说。盗窃了用户的密码之后，首当其冲的就是用户的支付类软件如，支付宝、网银等。其次，不发分子通过盗取用户社交软件密码，向用户亲友诈骗。6.5.1移动终端安全防护 终端用户面临威胁（3）智能化时代 物联网、云计算技术的发展，让智慧城市开始崛起。智能终端将被应用在我们生活的各个方面。无人驾驶的交通工具、远程医疗、智能家居等等。但是这些终端如果被不法分子控制，后果不堪设想。 科技是把双刃剑，利用的好就是天使，被别有用心的人控制，就会变成恶魔。这一点在移动终端

25、表现的同样突出。6.5.2移动终端安全防护 防护手段和建议移动终端极大地方便了人们的工作和生活，但由于其特殊性，带来便利的同时也给人们带来越来越多的安全威胁。这些威胁主要来源于移动终端的便携性、具有多种无线接口和关联业务。我们应培养良好的移动终端使用习惯，借助相应的安全技术手段，做好全面的安全防护措施，规避安全问题，让移动终端发挥更积极的作用。下面简单从人们生活中常见的几个方面谈一谈如何防护移动终端安全。6.5.2移动终端安全防护 防护手段和建议（1）如何安全地使用Wi-Fi 拒绝来源不明的Wi-Fi。央视在315晚会现场演示了黑客利用免费Wi-Fi网络窃取用户邮箱账号和密码的过程。 黑客常常会利用用户免费蹭网的占便宜心理，设置钓鱼Wi-Fi。借机盗取用户的账号密码。 关闭Wi-Fi自动连接功能。 我们在日常使用移动终端设备时，最好关闭“