移动警务终端信息安全威胁研究

移动警务
移动警务终端信息安全威胁研究浮欣谢峰张哲公安部第一研究所
摘要：随着执法环境和执法种类不断发展，移动警务业务作为支撑公安警务工作的重要保障环节，其重要程度也与曰俱 增。

由于移动设备的智能化、普遍接入移动公安网、容易损坏和丢失等客观因素，移动警务终端设备面临更加严峻 的信息安全祕，尤其当前随着身份证联网应用、使用公民生物特征识别查验人□等新型公安执法环境的出现，作 为这些重要敏感信息或不可再生信息的数据载体和传输工具，移动警务终端设备一旦遭到入侵和破坏，后果不堪设 想。

通过广泛调研，在分析移动警务终端不同层面安全机制的基础上，总结并分析其各层面所面临的安全威胁，为公安部门对移动警务终端设备的信息安全防护提供借鉴和参考。

关键词：移聽务终端O day漏洞APT攻击
引言
随着移动警务执法需要的不断发展，越来越多的公安 机关已经或计划为公安民警配备移动警务终端设备，作为 移动警务执法环境下的制式警用装备。

移动警务终端的设 备形态主要是移动智能手机或移动平板电脑，主要采用深 度定制版本的Android系统，还有极少量采用Windows系 统。

移动瞥务用户的快速增长导致面临的信息安全问题也 更加突出，根据TrustGo公司的统计报告，Google Play上 有3.15%的应用程序存在可能泄露用户隐私或被攻击者利 用的漏洞；而在国内市场该比例更是高达19.7%[2]。

虽然移 动警务终端一般采用指定的应用市场，但在信息安全方面仍然不能掉以轻心，伴随大量差异化、定制化的功能、配
置和应用同时也带来较大安全隐患。

―、移动警务终端系统架构
移动警务终端除了内置普通SIM卡之外，还内置了专
用TF安全卡，用作接入运营商为公安机关分配的专线
APN网络，安全卡内同时还包括与公安网服务端进行身份
验证的数字证书，当首次接入公安网时需要申请设备注
册，公安网管理员会执行设备入网审批流程，通过审核后
方能接入公安网使用。

根据G/VT 1085-2013《手持式移
动瞀务终端通用技术要求》的规定，移动瞀务终端设备目
前禁止使用WIFI网络和蓝牙通信，避免带来更多安全隐
〇丨丨〇66〇1111〇丨〇972017年第5期4
9
图2移动普务终端安全威胁分J 50 E
(-)内核层安全威胁
移动终端系统大多数采用ARM处理器，类似于X86架 构，ARM处理器也支持多个运行模式。

应用代码运行在用 户模式，内核代码运行在内核模式，不同模式之间的硬件 隔离使得从用户模式发起直接攻击难度较大，但也不排除 某些具有强大攻击资源和技术储备的黑客攻击行为®。

1. 加载内核模块
Android系统允许用户在运行时将模块整合到内核中，如设备驱动，一旦恶意代码被加载进入内核，它就拥有内 核的所有特权权限，具有直接访问系统硬件资源的能力，可以绕过内核层之上的任何安全机制。

2. 内核漏洞
移动终端系统可能出现内核漏洞。

内核结构的复杂性 和庞大的规模使其包含安全漏洞的可能性大大増加，内核 代码包含了大量的硬件参数信息，通常由OEM厂商发布，但是目前Android平台的品牌、型号繁多，存在严重的碎片 化问题，无法保证及时发布安全更新，因此随着移动终端 设备包括采用Android操作系统的移动警务终端设备的大量 普及，利用内核漏洞发起攻击的概率也在相应增加。

(二）中间件层安全威胁
中间件层是移动终端内核层和应用层之间的一层软件 栈，通常包括系统运行需要的核心库文件、关键系统服务 代码等。

若中间件层的软件栈受到攻击，会导致恶意代码 直接面对内核服务，从相对底层获取更多的系统资源，提 高攻击效率。

1. 应用代码签名威胁
在Android中间件层采用了代码自签名机制，允许第三 方APP进入终端系统，如果应用在设备上安装成功，仍然 能够对它的代码进行随意修改，应用程序控制流程的完整 性可能遭到破坏，在Android系统应用APP程序安装时，会 对安装程序各部分进行摘要计算、签名比对等过程，但是 在启动已安装的应用程序时不会进行重新计算，而只比对 时间戳操作，因此对APP应用程序代码签名的攻击可以通 过伪造时间戳实现。

这样可以在不被系统签名机制察觉的 情况下向APP应用程序中添加恶意代码，但前提是必须取 得Root权限。

上述攻击行为完全可以针对移动警务终端设 备中预装的APP应用程序。

2. 代码控制流攻击威胁
Android系统基于Linux内核，提供了一^f-进程控制另 一个进程的手段，如ptrace系统调用，利用ptrace调用可 以实现进程劫持，允许父进程控制子进程或者高权限的进
患。

软件方面，只安装与移动警务相关的APP应用，禁止 安装其它任何不相关的第三方应用程序。

移动警务终端成功注册后，若需要访问公安网资源，则通过运营商的4G蜂窝网络（APN专线）与公安网建立通 信链路，可以将现场采集的照片、音视频、安全日志等数 据传送到公安网，部分业务还需要将公安网执行的逻辑操 作结果返回给移动警务终端，例如身份证核验操作等。

移 动警务终端应用环境如图1所示。

图1移动警务终端应用环境
二、移动警务终端安全威胁分层模型
移动警务终端设备与普通移动终端设备在物理结构、软硬件架构、用途方面存在基本共性，因此其在安全方面 也可以参照通用移动终端进行分析，按照从底层向上层方 向，安全层面可以分为内核层、中间件层、应用层、数据 层、传感器层和网络层，可以用逐层分析的方法来分解此 类设备面临的潜在信息安全风险，图2显示了一种移动瞥 务终離息安全麵莫型。

程用户控制其它目标进程，从而改变目标进程的执行流 程。

Android系统内有大量的系统®务，一旦系统®务进程 被劫持，使用该系统1艮务的任何进程将不再可信。

(三） 应用层安全威胁
应用层面的安全威胁主要是指恶意代码入侵威胁，移 动智能终端包括移动警务终端在内，此类设备的共同特点 是运行第三方厂商开发的APP应用软件，恶意代码可以随 第三方APP应用程序的安装进入移动终端系统。

统计显示 86%的Android恶意代码是嵌入到流行的APP并重新打包实 现的[幻。

恶意代码入侵方式还包括嵌入更新升级模块、利 用二维码、邮件、恶意链接等形式欺骗用户下载等，恶意 代码进入Android系统后会利用自身逻辑去尝试提升自身权 限从而获得对系统资源更大的访问权限和感染范围。

例 如，Android系统中存在大量以Root权限运行的Daemon进 程，可以利用这些进程的漏洞使恶意代码以Root权限运 行，即可绕过Android系统的全部访问控制机制。

对于移动警务终端来说，最好从已知安全的第三方应 用市场下载APP软件，并严格禁止从其它途径下载和安装 未知来源的APP软件。

(四） 数据层安全威胁
Android系统是最主流的移动操作系统，也是移动警务 终端目前所采用的最主要操作系统。

根据中国360互联网 安全中心发布的报告显示，2015年第一季度360互联网安 全中心共截获Android平台新增恶意程序样本409万个，同时恶意软件的分类统计显示，将近90%的恶意软件存在窃 取隐私行为，导致个人隐私数据频频泄露，给用户带来人 身安全和财产损失等方面的问题。

因此Android移动端数据 层面的安全防护是一个亟待解决的问题。

对于移动警务终端来说，最好明确界定哪些警务应用
数据是敏感和需要保护的数据，例如身份证照片、现场执
法照片和音视频等，如果这些数据需要本地存储，应该采
取何种加密机制，密钥应如何安全保管。

当然在增加加密
功能的同时也要综合权衡移动操作系统的硬件和软件性能
问题。

(五）传感器安全威胁
移动警务终端和其它移动设备类似，搭载了丰富的传
感器资源，包括摄像头、GPS、MIC (麦克风）、指纹采
集、人脸识别、身份证阅读模块等，这些传感器采集的信
息被实时转换成二进制数据存储在终端设备中，_旦传感
器被滥用或非授权使用，敏感的执法信息和隐私数据就可
能被泄露。

尤其当前移动警务终端越来越多的被用来采集
民众的生物特征信息，如果这些信息遭到泄露则会造成严
重后果。

(六）网络通信层威胁
1■无线通信
移动蜂窝网络已经发展了四代，即1G (第一代）~
4G (第四代），对安全方面的考虑也逐步提升，例如美国
联邦通讯委员会（FCC)曾授权过_些专用于网络安全
“渗透测试”的无线蜂窝网络频率，只有使用这些频率的
无线移动设备的无线网络服务提供商才能针对无线蜂窝网
縱行渗透攻击[W]〇目前移动端互联网通信使用的主流通
信制式是4G技术，包括移动警务终端使用的APN专用线路
也是基于4G网络。

4G网络较前代通信技术在安全方面有
了极大提高，例如4G网络提供一种相互认证的强有力机
制，该机制可以击败许多已知和针对蜂窝网络的攻击，其
利用“密钥保持分离”和“密钥导出函数”来限制对安装
密钥的访问；4G网络甚至对“家庭扩展基站”设备的物理
安全控制进行了严格要求。

因此相对于2G和3G技术，
4G网络目前尚未出现重大安全隐患，是相对最安全的无线
通信雛。

相较于移动蜂窝网络，使用802.11协议族的无线局域
网WU\N通信由于存在较多安全隐患，是无线通信方式当
中极易遭到恶意攻击的通信类型，因此目前在移动警务终
端上要求禁用WU\N通信；蓝牙通信与WU\N存在类似情
况。

2.通信芯片固件漏洞
2017年4月13日，据阿里巴巴公司旗下的阿里聚安全
公司发布的移动安全周刊披露，国外安全公司Comsecuris的安全研究员Ralf-Phillip Weinmann透露出未
〇丨1〇66〇1111〇丨〇972017年第5期5
1
移动警务
公开的基带漏洞MIAMI 影响了华为智能手机、笔记本 WWAN 模块以及loT (物联网）组件。

国内移动警务终端基
本采用生产厂商各自定制的硬件和Android 系统，即使像华 为公司这样的大型通信设备厂商，虽然在处理器芯片方面 拥有_定专利和自主知识产权，但随着时间的推移和用户 群体数量的增长，很难说不会出现Oday 这样的新漏洞〜
三、移动警务终端安全威胁发展趋势
截至2016年末，公开揭露的针对移动终端的攻击事件 已有十几例，其不仅针对Android 平台，也覆盖了i 〇S 、黑 莓等其他智能平台，移动端攻击事件主要的攻击目的为收 集和窃取智能终端上的隐私数据，包括短信、通讯录、定 位信息等。

移动警务终端作为承载公安重要执法数据的载 体，对于潜在攻击者而言是具有较高价值的攻击目标，虽 然目前采取了_些安全机制，但攻击者仍有可能利用木桶 效应，选择和分析整个环节中的薄弱点趁虚而入。

通过上 述对移动互联网终端的安全性分析，再结合移动警务具体 应用特点，可以看出移动警务终端在以下几个方面仍然可 能棘钱风险。

(_)病毒和仿冒应用
不良开发者喜欢利用正版应用的名称来开发仿冒应 用，仿冒软件利用与正版应用相似的特征，诱导用户下载 安装，之后实施相应的病毒行为，对用户的危害极大，用 户需谨慎使用，尽量在官方渠道进行下载。

(二）病毒不再必须依赖获取设备权限
大多数用户认为Android 设备没有root 过就是安全的， 即使感染恶意代码，恶意代码也没有高权限进行恶意操
作。

然而2015年8月，全球范围内大量用户感染自带root 工 具包的恶意应用，影响包括Android 5.0及以下系统的设 备。

该病毒感染设备后，会根据设备相应的系统进行
root 提权操作，随后静默安装恶意应用。

此类病毒给用户
造成了巨大的困扰，用户也纷纷反馈手机中莫名奇妙被下 载了其他软件，手机即使恢复出厂设置，问题仍然无法解 决。

此类恶意应用不再依赖设备root ,而是通过云端或本
地配置root 工具包，对设备强行root 141。

(三）利用加固技术隐藏恶意代码逐渐盛行
传统的反病毒引擎多数采用特征码查杀技术，使用加 固技术加密后的恶意代码在运行时从内存中解密，可以绕 过静态扫描特征码技术，从而实现免杀。

一方面，由于移 动应用软件“加固”技术门檻逐渐降低，“加固”成了恶 意程序对抗安全防护软件最常用的手段，给了不法分子很 多便利，目前已经发现部分安全厂商的加固平台由于没有 使用反病毒引擎过滤包含恶意代码的应用，导致其加固方 案被肆意用于木马开发[5]〇
四' 结束语
“移动互联网+”以及公安移动警务业务的快速发 展，对信息安全问题带来极大的挑战。

在面对越来越复杂 的应用场景和业务种类时，需要重点关注纵深防御节点和 层面，在移动警务业务应用和安全方面做出平衡的取舍， 才能在保证应用性的同时兼顾安全性。

本文在充分借签当 前移动安全发展特点和趋势的基础上，对公安行业移动警 务终端信息的安全威胁进行了深入分析，为公安机关制定 移动警务终端设备管理制度和技术标准提供了借鉴和参考。

K
参考文献
[1] Gartner .2015年Q 1全球智能手机终端销售量达3.36亿增长
19.3%.[EB /OL ]. Http ://www . 199itcom /archives /351318.html , 2015-05-29.[2] 安天2016年移动安全年报.[R ]. Hd ^//b lc ^.a ^secxom /2017/03/ 4474/2016—security —report /, 2017—03—10.[3] 杨刚，温涛，张玉清.Android 漏洞库的设计与实现〇〇.信息网 ^■全，2015(9):240-241.[4] 王学强，雷灵光，王跃武.移动互联网安全威究〇].信息 网络安全那⑶:30-31.0阿里聚安全.移动安全周刊，基带O day 漏洞可攻击数百万部 华为手机[R ], https ://jaq .alibaba .com /community /art /show ?spm = a 313e .7916648.0.0.4rQ 12e &aitiddd =840.
52匿麗U 3 2017年第
5期。