移动警务
移动警务终端信息安全威胁研究
浮欣谢峰张哲公安部第一研究所
摘要:随着执法环境和执法种类不断发展,移动警务业务作为支撑公安警务工作的重要保障环节,其重要程度也与曰俱
增。由于移动设备的智能化、普遍接入移动公安网、容易损坏和丢失等客观因素,移动警务终端设备面临更加严峻
的信息安全祕,尤其当前随着身份证联网应用、使用公民生物特征识别查验人□等新型公安执法环境的出现,作
为这些重要敏感信息或不可再生信息的数据载体和传输工具,移动警务终端设备一旦遭到入侵和破坏,后果不堪设
想。通过广泛调研,在分析移动警务终端不同层面安全机制的基础上,总结并分析其各层面所面临的安全威胁,为
公安部门对移动警务终端设备的信息安全防护提供借鉴和参考。
关键词:移聽务终端Oday
漏洞APT
攻击
引言
随着移动警务执法需要的不断发展,越来越多的公安
机关已经或计划为公安民警配备移动警务终端设备,作为
移动警务执法环境下的制式警用装备。移动警务终端的设
备形态主要是移动智能手机或移动平板电脑,主要采用深
度定制版本的Android
系统,还有极少量采用Windows
系
统。移动瞥务用户的快速增长导致面临的信息安全问题也
更加突出,根据TrustGo
公司的统计报告,Google
Play
上
有3.15%的应用程序存在可能泄露用户隐私或被攻击者利
用的漏洞;而在国内市场该比例更是高达19.7%[2]。虽然移
动警务终端一般采用指定的应用市场,但在信息安全方面仍然不能掉以轻心,伴随大量差异化、定制化的功能、配
置和应用同时也带来较大安全隐患。
―、移动警务终端系统架构
移动警务终端除了内置普通SIM
卡之外,还内置了专
用TF
安全卡,用作接入运营商为公安机关分配的专线
APN
网络,安全卡内同时还包括与公安网服务端进行身份
验证的数字证书,当首次接入公安网时需要申请设备注
册,公安网管理员会执行设备入网审批流程,通过审核后
方能接入公安网使用。根据G/VT
1085-2013《手持式移
动瞀务终端通用技术要求》的规定,移动瞀务终端设备目
前禁止使用WIFI
网络和蓝牙通信,避免带来更多安全隐
〇丨丨〇6 6〇1111〇丨〇97 2017年第5期4
9图2
移动普务终端安全威胁分J
50 E(-)内核层安全威胁
移动终端系统大多数采用ARM
处理器,类似于X
86架
构,ARM
处理器也支持多个运行模式。应用代码运行在用
户模式,内核代码运行在内核模式,不同模式之间的硬件
隔离使得从用户模式发起直接攻击难度较大,但也不排除
某些具有强大攻击资源和技术储备的黑客攻击行为®。
1. 加载内核模块
Android
系统允许用户在运行时将模块整合到内核中,
如设备驱动,一旦恶意代码被加载进入内核,它就拥有内
核的所有特权权限,具有直接访问系统硬件资源的能力,
可以绕过内核层之上的任何安全机制。
2. 内核漏洞
移动终端系统可能出现内核漏洞。内核结构的复杂性
和庞大的规模使其包含安全漏洞的可能性大大増加,内核
代码包含了大量的硬件参数信息,通常由OEM
厂商发布,
但是目前Android
平台的品牌、型号繁多,存在严重的碎片
化问题,无法保证及时发布安全更新,因此随着移动终端
设备包括采用Android
操作系统的移动警务终端设备的大量
普及,利用内核漏洞发起攻击的概率也在相应增加。
(二)中间件层安全威胁
中间件层是移动终端内核层和应用层之间的一层软件
栈,通常包括系统运行需要的核心库文件、关键系统服务
代码等。若中间件层的软件栈受到攻击,会导致恶意代码
直接面对内核服务,从相对底层获取更多的系统资源,提
高攻击效率。
1. 应用代码签名威胁
在Android
中间件层采用了代码自签名机制,允许第三
方APP
进入终端系统,如果应用在设备上安装成功,仍然
能够对它的代码进行随意修改,应用程序控制流程的完整
性可能遭到破坏,在Android
系统应用APP
程序安装时,会
对安装程序各部分进行摘要计算、签名比对等过程,但是
在启动已安装的应用程序时不会进行重新计算,而只比对
时间戳操作,因此对APP
应用程序代码签名的攻击可以通
过伪造时间戳实现。这样可以在不被系统签名机制察觉的
情况下向APP
应用程序中添加恶意代码,但前提是必须取
得Root
权限。上述攻击行为完全可以针对移动警务终端设
备中预装的APP
应用程序。
2. 代码控制流攻击威胁
Android
系统基于Linux
内核,提供了一^f
-进程控制另
一个进程的手段,如ptrace
系统调用,利用ptrace
调用可
以实现进程劫持,允许父进程控制子进程或者高权限的进患。软件方面,只安装与移动警务相关的APP
应用,禁止
安装其它任何不相关的第三方应用程序。
移动警务终端成功注册后,若需要访问公安网资源,
则通过运营商的4G
蜂窝网络(APN
专线)与公安网建立通
信链路,可以将现场采集的照片、音视频、安全日志等数
据传送到公安网,部分业务还需要将公安网执行的逻辑操
作结果返回给移动警务终端,例如身份证核验操作等。移
动警务终端应用环境如图1所示。
图1
移动警务终端应用环境
二、移动警务终端安全威胁分层模型
移动警务终端设备与普通移动终端设备在物理结构、
软硬件架构、用途方面存在基本共性,因此其在安全方面
也可以参照通用移动终端进行分析,按照从底层向上层方
向,安全层面可以分为内核层、中间件层、应用层、数据
层、传感器层和网络层,可以用逐层分析的方法来分解此
类设备面临的潜在信息安全风险,图2显示了一种移动瞥
务终離息安全麵莫型。程用户控制其它目标进程,从而改变目标进程的执行流
程。Android
系统内有大量的系统®务,一旦系统®务进程
被劫持,使用该系统1艮务的任何进程将不再可信。
(三) 应用层安全威胁
应用层面的安全威胁主要是指恶意代码入侵威胁,移
动智能终端包括移动警务终端在内,此类设备的共同特点
是运行第三方厂商开发的APP
应用软件,恶意代码可以随
第三方APP
应用程序的安装进入移动终端系统。统计显示
86%的Android
恶意代码是嵌入到流行的APP
并重新打包实
现的[幻。恶意代码入侵方式还包括嵌入更新升级模块、利
用二维码、邮件、恶意链接等形式欺骗用户下载等,恶意
代码进入Android
系统后会利用自身逻辑去尝试提升自身权
限从而获得对系统资源更大的访问权限和感染范围。例
如,Android
系统中存在大量以Root
权限运行的Daemon
进
程,可以利用这些进程的漏洞使恶意代码以Root
权限运
行,即可绕过Android
系统的全部访问控制机制。
对于移动警务终端来说,最好从已知安全的第三方应
用市场下载APP
软件,并严格禁止从其它途径下载和安装
未知来源的APP
软件。
(四) 数据层安全威胁
Android
系统是最主流的移动操作系统,也是移动警务
终端目前所采用的最主要操作系统。根据中国360互联网
安全中心发布的报告显示,2015年第一季度360互联网安
全中心共截获Android
平台新增恶意程序样本409万个,同
时恶意软件的分类统计显示,将近90%的恶意软件存在窃
取隐私行为,导致个人隐私数据频频泄露,给用户带来人
身安全和财产损失等方面的问题。因此Android
移动端数据
层面的安全防护是一个亟待解决的问题。对于移动警务终端来说,最好明确界定哪些警务应用
数据是敏感和需要保护的数据,例如身份证照片、现场执
法照片和音视频等,如果这些数据需要本地存储,应该采
取何种加密机制,密钥应如何安全保管。当然在增加加密
功能的同时也要综合权衡移动操作系统的硬件和软件性能
问题。
(五) 传感器安全威胁
移动警务终端和其它移动设备类似,搭载了丰富的传
感器资源,包括摄像头、GPS、MIC
(麦克风)、指纹采
集、人脸识别、身份证阅读模块等,这些传感器采集的信
息被实时转换成二进制数据存储在终端设备中,_旦传感
器被滥用或非授权使用,敏感的执法信息和隐私数据就可
能被泄露。尤其当前移动警务终端越来越多的被用来采集
民众的生物特征信息,如果这些信息遭到泄露则会造成严
重后果。
(六) 网络通信层威胁
1 ■无线通信
移动蜂窝网络已经发展了四代,即1G
(第一代)~
4G
(第四代),对安全方面的考虑也逐步提升,例如美国
联邦通讯委员会(FCC
)曾授权过_些专用于网络安全
“渗透测试”的无线蜂窝网络频率,只有使用这些频率的
无线移动设备的无线网络服务提供商才能针对无线蜂窝网
縱行渗透攻击[W
]〇目前移动端互联网通信使用的主流通
信制式是4G
技术,包括移动警务终端使用的APN
专用线路
也是基于4G
网络。4G
网络较前代通信技术在安全方面有
了极大提高,例如4G
网络提供一种相互认证的强有力机
制,该机制可以击败许多已知和针对蜂窝网络的攻击,其
利用“密钥保持分离”和“密钥导出函数”来限制对安装
密钥的访问;4G
网络甚至对“家庭扩展基站”设备的物理
安全控制进行了严格要求。因此相对于2G
和3G
技术,
4G
网络目前尚未出现重大安全隐患,是相对最安全的无线
通信雛。
相较于移动蜂窝网络,使用802.11协议族的无线局域
网WU
\N
通信由于存在较多安全隐患,是无线通信方式当
中极易遭到恶意攻击的通信类型,因此目前在移动警务终
端上要求禁用WU
\N
通信;蓝牙通信与WU
\N
存在类似情
况。
2.通信芯片固件漏洞
2017年4月13日,据阿里巴巴公司旗下的阿里聚安全
公司发布的移动安全周刊披露,国外安全公司
Comsecuris
的安全研究员Ralf-Phillip
Weinmann
透露出未
〇丨1〇6 6〇1111〇丨〇97 2017年第5期5
1