工业和信息化部电信研究院™º能终端信息安全现状及...工业和信息化部电信研究院...
TRANSCRIPT
工业和信息化部电信研究院
智能终端安全现状及评测
工信部电信研究院泰尔实验室
2012年4月
工业和信息化部电信研究院
汇报内容
一、我国智能终端发展现状
二、智能终端信息安全测试情况介绍
三、泰尔实验室智能终端信息安全测试及服务能力
工业和信息化部电信研究院
我国智能终端发展现状
统计项目 国内厂家 国外厂家
我国智能终端
市场份额
2011年 42.37% 57.63%
2012年第1季度 55.57% 44.43%
我国前十名企业
市场份额
2011年 34.3% 55.8%
2012年第1季度 37.5% 43%
•2011年全球智能终端出货量超越PC,我国智能终端出货量超过1.1亿部
•2011年第4季度,我国智能终端出货量超过3575万部,占总出货量比
重达36.17%
•2012年第1季度,我国智能终端出货量超过4100万部,占总出货量比
重达43.2%
工业和信息化部电信研究院
我国智能终端发展现状
统计项目 描述
形态 手机、平板电脑
操作系统 Android操作系统为主
CPU ARM公司产品为主,多支持单核和双核,但四核产品可能成为热点
存储能力 最大32GB,8GB和16GB占比最大
屏幕尺寸 手机:最大5.3寸,3.5及4寸占比最大
平板电脑:7寸和10寸
摄像头 最大1200万像素,300万和500万像素占比最大
外围接口 均具有WiFi、蓝牙、USB接口,少数具有NFC接口
以测试的600多款智能终端为样本
工业和信息化部电信研究院
我国智能终端发展现状
•2011-2012年智能终端操作系统占比
Android Symbian iOS Windows
Phone 其他
2011Q1 31% 51% 8% 7% 3%
2011Q2 46% 33% 13% 5% 3%
2011Q3 64% 25% 7% 2% 2%
2011Q4 76% 14% 7% 1% 2%
2012Q1 73% 8% 16% 0% 3%
工业和信息化部电信研究院
我国智能终端发展现状
•2011年手机屏幕尺寸占比
2英寸以下 2-3英寸 3-4英寸 4英寸以上
智能手机 0% 7% 53% 40%
功能手机 4% 53% 41% 2%
130万像素以下 200和300万像素 500万像素及以上
全部手机 53% 35% 12%
智能手机 3% 59% 38%
功能手机 73% 25% 2%
•2011年带拍照功能手机中不同像素占比
工业和信息化部电信研究院
汇报内容
一、我国智能终端发展现状
二、智能终端信息安全测试情况介绍
三、泰尔实验室智能终端信息安全测试及服务能力
工业和信息化部电信研究院
智能终端信息安全主要问题
•用户利益损失(偷发短信、彩信、偷上互联网等)
•用户信息泄露(X卧底、短信、密码、位置信息等)
•用户数据篡改(电话簿、文件等)
•信息内容违法(涉黄、反动宣传等)
问题
•无标准要求、监管要求不到位
•应用软件存在恶意代码
•操作系统多样化、存在脆弱性和漏洞
•硬件和接口控制存在缺陷
•空中接口存在缺陷
•芯片安全基础不健全
根源
工业和信息化部电信研究院
智能终端信息安全测试情况介绍
《移动终端安全能力技术要求》
《移动终端安全能力测试方法》
《移动互联网恶意代码描述规范》
智能终端信息安全评测依据
测试工具+人工检查
智能终端信息安全评测方法
操作系统安全(17项)
预置应用软件安全(3项)
外围接口安全(7项)
其他安全(13项)
智能终端信息安全评测内容
智能终端信息安全评测对象 已完成600多款智能终端的评测
涵盖100多种品牌两种类型的终端
覆盖3种制式无线蜂窝网络
主要涉及Android和iOS操作系统
智能终端信息安全评测结果汇总
操作系统安全:80%以上被测设备缺乏对第三方应用程序后台操作的授权和提示过程,如拨打电话、发送短信、定位等;
外围接口安全:缺乏连接控制和提示过程;
其他安全:缺乏对用户数据的访问权限控制和加密存储;
安全趋势:智能终端在逐步增加安全防护能力;
工业和信息化部电信研究院
智能终端信息安全测试情况介绍
智能终端信息安全评测——示例比对说明1
评测项 评测内容 iOS 4.0 Android (整改前) Android (整改后)
操作系统
短信 √ √
邮件 √
WiFi √ √
定位 √ √
录音测试 √
摄像头 √ √
用户数据 用户数据授权访问 √
加密存储
硬件接口 有线连接
…… ……. …… …… ……
风险项合计 36 10 20 6
工业和信息化部电信研究院
智能终端信息安全测试情况介绍
智能终端信息安全评测——示例比对说明2
评测项 评测内容 MIUI2.3.4 MIUI4.0
操作系统
短信 √ √
邮件
WiFi √
定位 √
录音测试 √
摄像头 √
用户数据 用户数据授权访问 √ √
加密存储
硬件接口 有线连接
…… ……. …… ……
风险项合计 36 14 6
工业和信息化部电信研究院
智能终端信息安全测试情况介绍
小结
•目前智能终端出货量增长迅速,尤其国内厂商占比不断增大
•经测试发现,目前80%的智能终端信息安全防护能力欠缺,对用户
信息安全造成威胁
•通过加固操作系统,可增强智能终端信息安全防护能力,有效抑制
信息安全事件,保护用户信息安全
工业和信息化部电信研究院
汇报内容
一、我国智能终端发展现状
二、智能终端信息安全测试情况介绍
三、泰尔实验室智能终端信息安全测试及服务能力
工业和信息化部电信研究院
泰尔实验室智能终端信息安全测试能力
•智能终端操作系统漏洞扫描
•智能终端预置应用软件安全测试
•智能终端外围接口信息安全测试
智能终端安全测试
操作系统
•基于公开API的漏洞扫描
•网络端口扫描
应用软件
•预置应用软件
•静态代码分析
•动态代码分析
外围接口
•WiFi/蓝牙/USB/NFC等
•外围接口安全控制
•安全协议分析
泰尔实验室目前可以提供标准、测试及咨询服务,以尽快改善当前智能终端信息安全形势。
工业和信息化部电信研究院
安全事件与智能终端操作系统漏洞 安全事件 操作系统漏洞 安全要求
吸费软件 未经用户许可自动发送短信 应用程序发送短信应要求用户确认
X卧底软件 未经用户许可自动通话录音并上传网络 应用程序通话录音应要求用户确认
非法收集用户位置信息
未经用户许可使用定位应用,记录并上传位置信息
应用程序使用定位功能应要求用户确认
蓝牙间谍软件 未经用户许可自动开启、配对蓝牙 应用程序开启、配对蓝牙应要求用户确认
…
•如果操作系统能够在应用程序调用系统敏感功能时要求用户确认或给出用户提示,则操作系统基本不会受到上述安全事件的威胁;
•弥补操作系统漏洞 = 加强操作系统免疫系统;
•选取操作系统漏洞点并建立操作系统漏洞库 = 研发操作系统疫苗。
•基本API漏洞比其他远程服务/本地应用漏洞更重要
•用户安全比系统安全更重要
智能终端操作系统 结论:
基于公开API,针对用户资费损失和信息泄露等安全问题,进行智能终端操作系统漏洞扫描。
工业和信息化部电信研究院
智能终端操作系统漏洞扫描测试内容
操作系统基本信息检查
操作系统类别、版本信息、衍生系统情况、主要修改及其文档、集成应用软件信息、软件签名机制、最小权限原则、自启动应用软件列表等
操作系统漏洞扫描
通信功能漏洞扫描
拨打电话、三方通话、发送短信、发送彩信、发送邮件
泄露用户隐私漏洞扫描
定位功能、通话录音功能、拍照/摄像功能
访问敏感用户数据漏洞扫描
电话本读写、通话记录读写、短信读写、彩信读写
开启无线接口漏洞扫描
开启蜂窝网络数据连接、开启WLAN网络连接、开启蓝牙、开启NFC
评测项目
操作系统漏洞扫描
通信功能漏洞
泄露用户隐私漏洞
访问敏感用户数据漏洞
开启无线接口漏洞
工业和信息化部电信研究院
智能终端操作系统漏洞扫描系统
漏洞扫描脚本程序
•基于iOS4/iOS5、
Android、
Blackberry、WP7
等操作系统
•根据发现的漏洞
点开发脚本程序
•每个操作系统约
20个脚本程序
漏洞扫描软件
•连接被测智能终
端
•安装测试脚本
•运行测试脚本
•记录测试结果
•生成测试报告
通信测试仪表
•连接测试仪表
•测试通信相关功
能
•反馈测试脚本运
行结果
工业和信息化部电信研究院
预置应用软件安全测试内容
•智能终端上市时系统软件内集成的应用软件
预置应用软件
恶意扣费
评测点选取:移动互联网恶意代码描述规范(CCSA、中国互联网协会)
隐私窃取 远程控制 恶意传播
资费消耗 系统破坏 诱骗欺诈 流氓行为
工业和信息化部电信研究院
预置应用软件安全测试系统 •静态扫描和动态行为分析相结合
•实时更新病毒库
•采用云查杀技术保证快速扫描
工业和信息化部电信研究院
智能终端外围接口安全测试内容
智能终端
空中接
口
机卡接
口
Wifi
蓝牙 USB
MicroSD
人机接口
接口描述
•空中接口:GSM/CDMA1X/WCDMA/cdma20
00/TD-SCDMA/LTE等
•机卡接口:SIM/USIM/UIM卡接
口
•Wifi:IEEE 802.11
•蓝牙:L2CAP、RFCOMM、SDP
•USB:USB2.0、MicroUSB
•SD卡接口:SDHC、MicroSD
•人机接口:用户界面
工业和信息化部电信研究院
外围接口信息安全测试系统
Wifi安全控制测试工具
蓝牙安全控制测试工具
USB安全控制测试工具
外围
接口
安全
控制
测试
工具
空中接口测试系统
机卡接口测试系统
SD卡接口测试系统
协议
安全
及健
壮性
测试
系统
安全控制测试工具 协议安全及健壮性测试系统
工业和信息化部电信研究院
感谢聆听 敬请指正