绪论
随着科技日新月异,手机已从过去仅是通信产品,逐渐成为人们生活中不可或缺的生活必需品,而随着移动通信设备的普及,也招来黑客及病毒的觊觎。根据俄罗斯知名防毒软件公司 卡巴斯基实验室的数据指出,手机病毒约以每个月6只的速度增长,其带来的危害多半以阻碍手机正常使用、偷取数据、盗拨号、盗传简讯等。近期甚至出现了手机监听病毒,该病毒会侧录下移动通信设备的通话内容以及简讯等通信数据,再透过3G等无线传输方式将数据传出,显示手机造成数据外泄是实际存在的问题。
移动通信设备信息安全防护已不再只是口号,而是燃眉之急,应确实地落实在移动通信设备之中。还记得之前轰动一时的希尔顿饭店继承人 巴黎丝希尔顿(Paris Hilton),她的手机被黑客植入手机病毒,遭盗取手机内的通信簿、个人行事历与写真照片;在这新闻的背后显示了移动通信设备的信息安全的防护不足。将来层出不穷的移动通信设备病毒及攻击,进而导致移动通信设备失效或个人隐私数据外泄,其所带来的影响值得注意。
今年开始由于用户运用手机上网的比率逐渐提升,且智能型手机大量崛起,如SmartPhone、iPhone、PDA (Personal Digital Assistant)等,移动通信设备开发也已经进入成熟阶段,再加上沟通、交流是社会文化中的必需品,因此移动通信设备已经成为人们日常生活不可或缺的随身携带物品。根据近年来手机调查,现代人不只人手一机,甚至有多数人拥有3机以上,未来10年内人手一支智能型移动通信设备也不是遥不可及。
根据Topology Research Institute (TRI) 的统计显示,全球手机产量在2007年将有机会到达11.5亿支,并预估2008年全球手机产量可达13.67亿支。由此数据显示全球移动通信设备数量将逐年不断增加,使用度更为普及,其中以内建Symbian操作系统的移动通信设备市占率最高,达72.4 %,因此早期病毒都专为Symbian操作系统而写;内建Linux操作系统则约占13.3 %位居第二;内建Window Mobile及Research In Motion's (RIM)操作系统手持设备,则分别为6.1 %及5.3 %,分占市场第三、四名。目前全球移动通信设备操作系统市占率如表1所示。
基于移动通信设备数量不断增加、功能变得更复杂、更精密和具金融消费的功能,都将影响移动设备病毒发展趋势,导致移动通信设备变成下一个攻击目标。除此之外,移动通信设备结合了IEEE 802-based的通信技术(例如:Wi-Fi和Bluetooth),使专门攻击移动通信设备的病毒可经由各种途径入侵。表2显示目前移动设备感染途径以及感染范围。
现有针对移动通信设备而来的病毒感染途径包括,手持设备与计算机进行同步(Synchronization)时或记忆卡交换数据时感染;透过红外线 (Infrared Data Association;IrDA)、蓝牙 (Bluetooth)、整体封包无线电服务(General Packet Radio Service;GPRS)、3G (Generation)和3.5G通信系统、Wi-Fi无线网络等传输协议,进行点对点或因特网的连结作数据存取传输;透过简讯服务(Short Message Service;SMS)、多媒体简讯服务(Multimedia Messaging Service;MMS)、WAP Push等进行数据传输,WAP Push是一种WAP(Wireless Application Protocol)服务传播技术,用户可以从Web网站传送一则含有URL的SMS到支持WAP Push的手持设备,然后再利用手持设备WAP浏览器上网并下载档案;总而言之,感染途径将随着移动通信设备的功能越强大而扩增。
从2004年6月以来,已经发现手机病毒超过150种,全球被感染的案例达到上千个,但都是在国外,也由于病毒的肆虐,造就了移动通信信息安全的市场,根据资策会市场情报中心(Market Intelligence Center;MIC)研究报告显示,2007年全球移动通信信息安全市场规模为2.8亿美元,较去年大幅增长三成。资策会更预估,到2011年时,手机防毒、防火墙、加解密及防垃圾产品的需求带动下,预期全球移动通信信息安全市场将有36.3 %的增长率;市场规模将挑战9.6亿美元。因此说明了全球科技产业对移动通信信息安全的重视。
重大移动信息安全事件
最早攻击移动通信设备的事件是在2000年3月,发生地点是在西班牙,病毒VBS.Timofonic主要透过计算机E-mail传播感染,而不是移动电话系统,被感染的计算机会透过Moviestar.net简讯功能传送毁谤Timofonic信息给Moviestar的会员,简讯内容如图1所示,虽然病毒未对移动设备本身造成损害,但却干扰其正常使用;实际上VBS.Timofonic只能算是一种计算机病毒,而移动通信设备是被攻击的目标,因此防御的方法就是移除计算机上不必要的服务,例如:FTP server,并更新修补计算机漏洞。
2002年2月,一则致命的手机简讯Hack.mobile.smsdos病毒正在欧洲蔓延,每天发送数量超过10亿封短讯,起因是2002年1月时荷兰安全公司ITSX (Information Technology Security Experts) 研究人员发现Nokia 3310、3330和6210型手机的操作系统存在着设计的缺陷,黑客可以利用该漏洞向手机发送一封160个字长度的畸形简讯,导致手机的瘫痪;隔月该病毒同样是利用Simens 35XX和45XX系列手机的设计上的疏失,简讯是直接从电话语言菜单中任选一个单字,前面加个星号,并以引号围绕者,例如“*English”或“*Deutsch”,只要用户浏览该简讯内容就会导致手机瘫痪并自动关机。最终解决方式是由Nokia和Simens自行修补该漏洞。
以上事件都不属于手机病毒,而是计算机病毒引发攻击移动通信设备的安全事件,至于真正的手机病毒主要是会在移动设备间互相感染和影响,目前手机病毒主要有蠕虫 (Worm) 和特洛伊木马 (Traojan horse) 两种;蠕虫可以自动自我复制,移动设备一旦被蠕虫感染,就会自动蔓延。特洛伊木马通常都会伪装成一些应用软件或游戏进入使用者的计算机系统中,然后伺机执行恶意行为。
蠕虫
2000年9月, Phage.936病毒是第一个可以自我复制的PDA病毒并侵犯Palm OS PDA的核心档案,因此被业者称之为真正的攻击PDA病毒。解决方案是透过McAfee与Symantec推出Palm OS的防毒软件,防毒软件的扫瞄引擎会扫瞄Palm PDA上所有应用程序,以检视是否有病毒的存在,一旦侦测出病毒存在,就会提醒该使用者移除此病毒。
2004年6月出现了世界第一个真正的攻击移动通信设备的Worm,是由国际病毒研究小组“29a”制造了首种可以在移动通信设备之间传播,被命名为Cabir的蠕虫 (worm)。Cabir专门攻击最为移动通信设备普遍采用的Symbian操作系统,当病毒发作时,屏幕上会显示“Caribe - VZ/29a”的字样,并对手机的系统设定进行修改,如图2所示。同时,主动透过Bluetooth搜寻周围可能的感染目标,进而向目标发送一个名为velasco.sis的文件,Cabir病毒就隐藏在该文件内,感染目标是以Nokia Series 60系列的移动通信设备为主。
Cabir病毒感染其它移动通信设备前必须连过三关,首先,受感染的设备需透过Bluetooth与感染源联机,接着并经使用者同意程序下载,下载完的程序安装也必须经过使用者许可,由于病毒感染方式繁琐加上每次只能感染一部移动通信设备,引发的灾情只有消耗被感染设备的电力,因此病毒的威胁程度受到限制。但值得注意的是Cabir从现身后到今年为止,已发展出24多种变种病毒,并至少超过20个国家被感染,主要扩散区域以欧、美和中国为主。
2004年7月,WinCE4.Dust病毒是29a病毒研究小组的另一实验作品,它是第一个感染WinCE操作系统之移动通信设备的概念型病毒,同样具有透过Bluetooth功能搜寻然后散播的能力,当病毒发作时,会出现如图 3内容的对话框,如用户选择“Yes”,病毒只会更改根目录下所有大于4096 bytes的档案变成执行档,如选择“No”就可以结束病毒程序,因此该病毒并没有对感染设备造成任何重大的损害,被感染设备依然可正常运作。
2004年11月、12月和2005年1月短短3个月的时间内爆发18种Cabir.B-T变种病毒,除了能感染移动通信设备,还可以感染其它拥有Bluetooth功能的设备(例如:列表机),而这些变种病毒的相同处是病毒感染目标都为安装Nokia Symbian Series 60系列移动通信设备,和主动透过Bluetooth搜寻周围感染目标;不同处是当病毒发作时,屏幕上会显示不同的字样,以及散播病毒的文件名,另外就是Cabir病毒隐藏在哪个数据夹内也会不同。杜绝Cabir变种病毒的方法有以下3种。
● 当Bluetooth没被使用时,请关闭
● 将Bluetooth设定成隐藏模式,防止它人联机
● 确认其它Bluetooth联机设备是否经过授权
2005年3月,第一起透过多媒体简讯服务(Multimedia Message Service;MMS)传输的病毒为Commwarrior.A,感染对象是Symbian Series 60操作系统的移动通信设备,不同于Cabir只透过Bluetooth进行散播病毒,Commwarrior.A使用Bluetooth和MMS进行病毒散播将不限于近距离的感染,而是更大范围的散播。使用者一但开启此病毒发送的MMS简讯后会自动执行病毒下载,下载完后病毒将不需经过使用者同意就会自动执行,并在系统上建立档案,对设备内所有连络人发送MMS病毒。该病毒属于概念型病毒,虽然会使中毒设备的应用程序无法正常运作,但由于Symbian Series 60的移动通信设备仅在欧洲地区销售,因此影响层面较小。
2008年1月,Beselo.A Worm病毒是透过Bluetooth和MMS感染Symbian OS的移动通信设备,特别是针对Nokia Series 60的移动电话,该病毒会监听讯息接收部份,当新讯息送达时,病毒会自动回复包含此病毒的MMS来感染其它行通通信设备。
特洛伊木马
2000年9月,Liberty Crack病毒,它是第一个攻击PDA的Traojan horse病毒,并伪造成Palm OS操作系统上热门游戏软件供PDA使用者下载,一但被执行后会产生当机、应用程序数据被清除等问题;该病毒主要透过3种管道感染,1、透过网络或E-mail下载病毒程序,2、PDA与计算机执行同步化,3、透过IrDA传输;但Liberty Crack病毒并没有扩散造成任何威胁,因为中毒的Palm OS 只要重新启动后就可以恢复。
2004年8月,Mosquito v2.0病毒主要是针对具有拍照功能的Nokia 7250、N70和N90等移动通信设备的Traojan horse病毒,又称为蚊子木马,该病毒隐藏在一被破解的射击蚊子游戏中,并供用户免费下载,一但移动通信设备安装该游戏就会中毒,如图 4所示。中毒后的移动通信设备会在用户不知情的情况下自动发送简讯或拨打英国一些特定电话号码,造成手机费用暴增。解决办法就是将该款游戏删除。
2004年8月,Backdoor.Brador.A病毒是第一个可以让攻击者远程控制中毒移动通信设备的Trojan horse病毒,它只感染采用ARM-based处理器和Windows CE 4.2 OS (WinCE 4.2又称为Windows Mobile 2003或Pocket PC 2003) 的移动设备,病毒入侵后会将该设备的IP address利用E-mail传送给黑客,同时开启TCP port 2989;黑客联机成功后可对该中毒设备下达5种命令。解决办法就是将该Brador.A产生的相关档案删除。
● 列出连络人资料
● 上传资料
● 显示一讯息框
● 下载资料
● 执行特定指定
2004年11月19日,Skulls是 Trojan horse病毒,该病毒主要感染Nokia Symbian Series 60的移动通信设备 (例如Nokia 7610),并隐藏在免费软件和Theme Manager for 7610程序中,用户一旦下载并执行Extended theme.sys文件后,病毒就会删除系统档案导致用户无法上网和开机,并将移动通信设备内的图标变成骷髅头,如图 5所示。接着在11月30日发现Skulls变种病毒,称之Skulls.B,此变种病毒除了保有Skulls的特性外,还与Cabir病毒结合,使该变种病毒可以透过Bluetooth感染其它移动通信设备,危害程度更大。
2007年7月,Flexispy 监听应用程序首度亮相,Flexispy属于Trojan horse-Spy病毒,启动时不需要经过用户同意就能开始执行,主要感染Symbian 操作系统的移动通信设备,安装此监听程序后,程序会立即隐藏起来,并锁住该程序的档案让用户无法移除,使用者则完全感受不到异常的情况; 此程序带来的威胁是会自动开启电话录音功能,使用者的通信与简讯内容会被侧录再传送给特定人士。从感染方式的角度来看Flexispy窃听程序不算是病毒也不是Trojan horse,因为它必须有人去进行安装与设定,程序本身也不会自行复制,并且该程序可以完全删除掉,但从技术的层面来看,Flexispy窃听程序实际上就是一种Trojan horse病毒,因为有心人事可透过该程序远程控制,从而达到窃听用户信息的目的。安装和设定Flexispy窃听程序的步骤如图 6所示,安装前须输入一组安全码,从而设定启动窃听和回报的事件。
2008年2月,Hatihati.A Trojan病毒是透过MultiMedia Card (MMC)记忆卡感染Symbian OS的移动通信设备,被感染的设备会发送大量的SMS的信息被特定的号码,造成手机费用倍增。
最后,我们根据上述病毒介绍整理出一表格,如表所示,该表格依据病毒种类和发现日期先后次序排序,并列出各病毒的感染途径及症状。
今日移动信息安全防护技术我们主要针对电信业者和移动通信产品这两个观点来探讨今日移动信息安全防护技术。
由电信业者提供的移动资安防护从电信业者的观点来看,着重在“任何安全保护服务应该首先安装在网络上,而移动通信设备端的保护都是最后不得已的手段”,故电信业者应先扫瞄简讯再转传,并移除掉恶意程序和加强网页过滤,避免病毒对移动通信设备造成任何威胁,但仍有其它电信业者持不同意见。
2005年, Chunghwa Telecom宣布与Trend Micro策略联盟,推出“手机防护精灵”(Trend Micro Mobile Security;TMMS) 。该服务针对手机上网族群对手机病毒防护的需求,可提供弹性化病毒扫描、病毒码更新、简讯过滤等功能,Chunghwa Telecom客户可自行透过中华电信或Trend Micro网站下载防毒软件。TMMS服务可提供自动、实时的病毒侦测与清除等多种弹性化设计,亦提供手动清除病毒功能;此外使用者亦可透过手机上网或与个人计算机连结,快速更新病毒码以保持最佳防毒状况。该服务并具备过滤简讯功能,可设定拦截选项以过滤简讯,包括设定传送者黑名单与白名单、或过滤特定电话号码来的简讯。
瑞士移动电信公司Swisscom Mobile 在2006年10月采用符合Advanced Telecommunications Computing Architecture (ATCA) 标准的FortiGate-5000 安全平台。FortiGate-5000系列能提供防毒、入侵防护和网页内容过滤等实时网络安全服务,并透过Fortinet的FortiGuard网络服务,使系统持续不断的自动更新最新病毒信息和防毒功能,确保能抵御全球最新的Virus、Worm、Trojan horse和其它威胁。
在移动通信产品上提供的移动资安防护
防毒软件厂商认为移动通信设备安装防毒软件是势在必行的事情,并认为“未来各移动通信设备都会执行一套防毒系统”,因此早在2000年Trend Micro 就与日本第一大电信服务大厂NTT (Nippon Telegraph and Telephone) 旗下的DoCoMo 合作,提供手机用户无毒的通信服务;另外Symantec、F-secure、Trend Micro、SimWorks、McAfee、Kaspersky和Airscanner 等防毒软件厂商从2003至今开发多套出适用移动通信设备的防毒软件。
目前推出移动设备内建防毒软件如表 4所示。Trend Micro发表2007年最新版本的移动设备安全防护解决方案Trend Micro Mobile Security (TMMS) 5.0,具备数据加密与验证功能,能遏阻非法入侵与数据外泄等移动设备安全威胁,并且能让企业的系统管理员透过单一主控台,集中控管所有手持设备的安全防护措施。Symantec,在2007年针对Windows Mobile 5 Pocket PC及智能手机提供防毒软件,让所有重要端点受到滴水不漏的全面防护; F-Secure Corporation,在2007年也提出F-Secure Mobile Anti -Virus(TM)防毒软件,具备扫描移动设备内和记忆卡所有可疑的病毒 (Virus)、蠕虫 (Worm)和木马病毒(Trojan horse)的功能,如图图7所示。另外,F-Secure可透过WAP Push的SMS通知移动设备更新病毒码 。
全球领先的移动通信设备芯片制造商德州仪器(Texas Instruments;TI)和ARM设计商在2004年7月发表了联合声明表示,双方目前已经结成战略联盟,共同致力于打造新一代的移动安全芯片。由于随着移动信息安全的问题日益严重,安装于移动通信设备内的防毒软件也变得更重要,但软件安全的脆弱性可能导致黑客获利,他们可能重新设定移动通信设备信息,进行非法升级或造成网络安全漏洞。因此ARM TrustZone技术是直接在微处理器核心内实作的一种安全技术,它还能延伸进入系统设计,保护芯片内建内存和周边硬件设备。
ARM TrustZone技术可提供更强大的移动通信设备安全保护,TrustZone技术能为整个内存架构提供程序代码和数据的安全保护,ARM1176JZ-S和ARM1176JZF-S处理器是第一批增加ARM TrustZone技术的ARM核心,它能为移动通信设备提供更强大的安全保护功能。
TCG(The Trusted Computing Group)组织于2006年9月13日正式公布历时3年才制订出来的移动电话安全标准Mobile Trusted Module (MTM),主要是希望能让移动通信设备制造商和应用软件开发商在移动通信设备,以更安全的方式储存信息。MTM主要诉求各项移动通信设备的安全性,以确保其运作系统、应用软件和数据不会在现实情境中被损害。它主要是将一可以输入安全码的“引擎”建置在移动通信设备当中,容许可信任成员修改手机的操作系统或其它关键软件,而且这组规格,除了能够协助移动通信设备制造商和用户减少被病毒攻击和身份认证被窃取的风险之外,MTM还提供订票服务和电子钱包的功能。
移动信息安全之关键技术
电信业者部署网络安全服务
关注整体部署策略,首先考虑整体效能,以便电信网络流量尖峰时期,能提供正常的安全服务;实时扫毒,随着病毒的快速发展,因应之道就是发展出实时扫毒,以提供更新的扫毒能力;整合性的管理平台,业者可透过单一管理接口有效管理众多的功能,并同时管理和设定所有布署于电信网络之中的安全设备。
移动通信设备之防毒软件
目前的移动通信设备的防毒软件安装后档案大小约为1MB,而病毒码的大小约为90KB,对于内存容量锱铢必较的移动通信设备而言,则可能因此而影响使用意愿,但由于近几年半导体制程技术提升与移动通信设备的技术成熟,使移动通信设备的内建内存容量逐年变大,所以防毒软件档案大小对于移动通信设备影响较轻微,但要彻底解决不断更新病毒码将是关键因素。
移动安全芯片
随着用户对各种服务应用和需求的快速增长,移动通信设备制造商普遍面临的问题是实现各种新功能的应用程序与搭配新的硬设备时,移动安全芯片仍然可以满足新移动通信产品的安全性需求。
移动电话安全标准 (MTM)
随着TCG组织会员人数增长,MTM可支持不同的会员存取移动通信设备的核心程序,即使用多重来源信赖 (multiple roots of trust) 的技术,纵使是新加入会员仍然可以透过一组通行码进行核心程序的修改,该组通行码只能透过系统或用户的私密信息才能运算出来。因次当安装一软件时,该软件业者需跟移动设备制造商取得通行码后,才能安装至移动通信设备内。
未来发展趋势
● 解决防毒软件需不断更新病毒码的问题
● 撷取病毒特征值技术
● 提升手机芯片开发平台的弹性 (Flexibility) 和可扩充性 (Scalability)
● SIP-based电信网络之移动安全防护
● P2P-based电信网络之移动安全防护
● 异质移动电信网络 (Heterogeneous mobile networks)之网络管理与安全防护
● 阻断服务攻击之移动安全防护
● 网络部署移动安全防护之网络管理系统
● 新世代网络(Next Generation Networks)之整合式网络管理与安全机制
