恶意代码原理、技术与防范 课件 7-智能手机恶意代码

第七章智能手机恶意代码引言目前，人们大量的私密信息，如账号密码、指纹信息、面部信息、商业秘密等，都存储在智能手机上，而一旦存有私密信息的智能手机遭到恶意代码的攻击，便会带来严重后果，因此，这不得不提起用户的注意。本章介绍了以智能手机为平台的恶意代码的特点及其传播途径，并较为详细地介绍了当前主流的两款智能手机操作系统Android和iOS的安全机制及其与恶意代码的对抗，最后介绍了智能手机恶意代码的防范。智能手机恶意代码概述Android恶意代码iOS恶意代码智能手机恶意代码防范1.1智能手机操作系统AndroidiOSHarmonyOS1.2智能手机恶意代码简述移动金融行业移动流量产业移动社交领域1.3智能手机恶意代码的传播途径通过有线连接方式传播通过蓝牙等近距无线通信方式传播通过短信、二维码等方式传播通过网络信号方式传播智能手机恶意代码概述Android恶意代码iOS恶意代码智能手机恶意代码防范2.1Android概述Android系统是自由的、开源的操作系统，由Linux系统发展而来，因此，Android允许开发者做很多修改和开发，同时也继承了许多Linux系统的特性。2.2Android进程沙箱逃逸技术沙箱(Sandbox)机制，又称沙盒机制，是为程序提供隔离运行环境的一种安全机制，通过严格控制程序能够访问的资源来确保系统的安全。2.3Android应用程序签名机制绕过技术所有运行于Android上的应用都必须拥有一个数字证书，而这些应用都经过了数字证书签名，因此，数字证书的作用是建立应用与应用开发者的信任关系。数字签名主要有两个作用：证明apk安装包的作者。校验apk包的正确性。2.4Android系统恶意代码实例TeaBot关键技术：屏幕覆盖实时截取屏幕拦截并隐藏短信智能手机恶意代码概述Android恶意代码iOS恶意代码智能手机恶意代码防范3.1iOS概述iOS系统由macOS发展而来，并继续发展为watchOS、tvOS等操作系统，在个人数据越来越多，并且越发集中于移动设备的当前，对隐私数据的保护就显得尤其重要。3.2iOS代码签名绕过技术与Android代码签名机制相类似，iOS代码签名机制主要用于验证以下两个信息：代码的来源代码的真实性在iOS系统中绕过代码签名主要有三种方式：利用开发者证书和企业证书。利用代码签名机制本身的漏洞。利用ROP（Return-Oriented-Programming，返回导向编程）技术3.3iOS安全启动链劫持技术苹果手机安全启动链3.4iOS沙盒逃逸技术iOS系统APP沙盒3.5iOS后台持久化技术即使能够在沙盒限制外运行任意代码，这个进程还是在uid=501(mobile)的权限下运行，而想要使代码在后台持久化运行或者访问受保护的资源，需要uid=0(root)的权限。在iOS系统中，通常需要恶意代码利用已经运行的root权限进程，改变这个root进程的执行流，即控制流劫持。控制流劫持可以通过ROP技术实现，也可以利用符号链接和条件竞争漏洞使得root权限进程错误处理输入来实现。3.6iOS内核地址空间布局随机化突破技术iOS系统内核是一段有巨大攻击面的代码，内核的系统调用和Mach陷阱（Machtrap）存在着漏洞，这些都可能成为恶意代码的攻击点，进而对内核打补丁，一旦恶意代码可以可靠且持续地获得内核的读写能力，那么也就基本完成了iOS系统的越狱，恶意代码获得了整个系统的控制权。从iOS6开始，整个内核代码在被加载到内存空间中时，都添加了一个随机值，通过这个随机值，使得每次内核代码加载到内存中的位置都不固定，这种机制称为内核地址空间布局随机化(KernelAddressspacelayoutrandomization,KASLR)。3.7iOS系统恶意代码实例运行于iOS*~9.3.4上的Pegasus/Trident间谍套件，是第一个被公开的远程、私有、隐蔽的越狱恶意软件。2016年8月，阿联酋一位人权活动家的iPhone收到短信，短信中附有超链接，由于他曾经被恶意软件攻击过，因此，他将这个超链接转发给了加拿大公民(Citizen)实验室的研究人员，研究人员在可控环境中追踪分析这些超链接，发现这些链接试图利用iOS上的0day漏洞，通过安装远程控制工具，获得iPhone的控制权。攻击者使用的iOS的0day漏洞后来被证实为三个漏洞的顺序组合利用，因此也被命名为Trident（三叉戟）。3.8iOS系统应用程序插件开发iOS系统一经越狱，安全机制都告失效，可以看作是一台没有任何保护的计算机，文件系统、系统调用等，都可以任意访问，在越狱的iOS系统上可以进行应用程序插件的开发。在iOS应用程序插件开发中，主要方式是针对iOS系统已有的应用程序，通过钩子函数，修改原有功能，执行其他功能。对于iOS系统的各种插件程序，统称为tweak（原意为微调以增强电子系统功能的实用工具），通常说的越狱开发，都是指开发一个tweak。智能手机恶意代码概述Android恶意代码iOS恶意代码智能手机恶意代码防范4.1防范策略主要的防范策略如下：不随意下载安装未知来源的应用不随意接收来电和短信不随意接入蓝牙等无线连接和外围设备有线连接安装杀毒软件并及时更新设置复杂的密码和口令4.2防范工具国外智能手机主要安全防护软件：McAfeeMobileSecurityTrendMicro移动安全MalwarebytesforAndroidKaspersky移动杀毒软件Bitdefender国内智能手机主要安全防护软件：360手机卫士腾讯手机管家猎豹安全大师百度手机卫士思考题241.与PC主机的恶意代码相比，智能手机恶意代码具有什么特点？这些特点对于用户和攻击者有什么影响？2.智