中国工商银行股份有限公司数据中心(北京) 杨雪松

　　随着3G网络和智能手机的普及，为了满足人们对掌上购物、掌上支付的需求，各家银行、第三方支付平台纷纷推出基于Android 系统、苹果iOS 系统的移动客户端。在移动金融应用日渐增多的当下，智能手机的安全问题也日趋突出。据国家互联网应急中心在2012年中国计算机网络安全年会上公布的一项调查结果表表明明：在分析的一万个手机应用程序中，发现一半手机程序存在窃取隐私等问题。这些程序不仅可能会威胁个人信息安全，而且可能对使用手机支付的用户带来金融风险。如今，智能手机的金融安全越来越引起人们的重视。本文对目前网上银行、网上支付客户端应用较广的苹果iOS系统和Android系统的安全风险、风险影响进行了分析，并提出了相应的安全建议。

　　一、iOS 系统安全性分析

　　iOS 系统是由苹果公司开发的手持设备操作系统。根据Canalys 的数据显示，截至2011年11 月，iOS系统已经占据了全球智能手机系统市场份额的30%，在美国的市场占有率为43%。

　　1.iOS 系统的体系结构

　　iOS 系统基于Unix，因此，从系统的稳定性上来说它要比其他操作系统好很多。iOS系统的体系结构可以分为四个层次：核心操作系统层、核心服务层、媒体层、可触摸框架层(如图1所示)。

图1

　　位于iOS系统的体系结构最下面的一层是核心操作系统层，它包括内存管理、文件系统、电源管理以及一些其他的操作系统任务。它可以直接和硬件设备进行交互，主要包括安全、认证、密钥等组件。

　　第二层是核心服务层，可以通过它来访问iOS 系统的一些服务。它包括地址薄、网络接入等组件。第三层是媒体层，通过它可以在应用程序中使用各种媒体文件，进行音频与视频的录制，图形的绘制以及制作基础的动画效果。它包括音频、图片等组件。第四层是可触摸层，这一层为应用程序开发提供了各种有用的框架，并且大部分与用户界面有关，本质上来说它负责用户在iOS 设备上的触摸交互操作，如闹钟、互联网登录等。

　　2.iOS 系统的安全性

　　iOS系统除了提供强大的娱乐功能外，也提供了许多安全机制，其中包括：防范对设备的未授权使用、对设备数据的全面保护(包括设备丢失或被偷的情况下)、安全的网络传输协议和数据加密算法、安全的平台等。在系统保护层面，iOS 系统支持用户从一系列密码设计策略中根据安全需求进行选择，包括最小密码长度、最大密码尝试次数等。

　　iOS系统可以通过XML 格式文件对设备的安全策略和限制、VPN 配置信息等进行设置，也可对配置文件提供签名和加密的保护。

　　在数据保护层面，iOS 系统提供了256 位的AES 硬件加密算法对设备中的所有数据进行强制加密。同时iOS 系统也支持远程信息和本地信息清除，例如，管理员或者设备所有者可以触发远程信息清除命令，在手机丢失、被盗的情况下保障数据安全。

　　在网络通信层面，iOS 系统支持主流的VPN 技术、SSLv3 以及TLSv1。在无线网络接入方面，iOS 系统支持WPA/WPA2 认证方式通过无线网络接入网络。同时，它支持8802.102.1x 协议，因此也能应用于基于RADDIIUS 认证的环境。

　　在平台层面，运行在iOS 系统的应用程序遵循“沙箱原则”，即不能够访问其他应用程序的数据。另外，系统文件、资源以及内核都与用户应用程序相隔离。所有的iOS 系统的应用程序都必须签名。

　　二、Android 系统安全性分析

　　Android 是Google 与开放手机联盟成员共同开发的、基于Linux 平台的开源手机操作系统，它包括操作系统、用户界面和应用程序三部分。成员可从http://www.android.com 网站上获得Android 操作系统的源代码。

　　1.Android 系统的体系结构

　　Android 的系统架构和其他操作系统一样，也采用了分层架构(如图2 所示)。

　　Android 系统分为四层，从高层到低层分别是应用程序层、应用程序框架层、系统运行库层和Linux 核心层。

　　(1)应用程序层。Android 会发布一系列的核心应用程序包，包括 E-mail 客户端、地图、浏览器、联系人管理程序等，第三方厂商开发的应用程序也位于该层。

　　(2)应用程序框架层。该应用程序的架构设计简化了组件的重用;在遵循框架规范的基础上，任何一个应用程序都可以发布它的功能块供其他应用程序使用。

　　(3)系统运行库层。该层包括两部分，核心库和运行时。其中，核心库包括显示系统管理库、SQLite 数据库等一系列C/C++库，这些库能被Android 系统中不同的组件使用;运行时提供了Java 编程语言核心库的大多数功能，每一个Android系统的应用程序都在它自己的进程中运行，都拥有一个独立的Dalvik 虚拟机。

　　Dalvik 虚拟机并非运行Java 字节码，而是运行自己的字节码，可以利用Android 官方提供的SDK中dx工具将编译好的Java 转化为“.dex”格式由虚拟机执行。

　　(4)Linux 核心层，Android 系统的核心系统服务，如安全性，内存管理，进程管理，网络协议栈和驱动模型等，依赖Linux 2. 6 内核。

　　2.Android 系统的安全性

　　根据Android 系统的体系结构可知，Android 系统包括的应用程序、应用程序框架、程序库和基于Dalvik虚拟机的运行时，都运行在Linux 内核之上。因此，其安全机制也是在Linux 安全机制基础上构建的。Android 系统在系统保护层面、数据保护层面、网络通信方面同样有自己的安全要求，同时，在平台方面，Android 系统使用“应用程序User ID ”、“沙箱原则”、“强制签名”、“文件权限”，只不过在一些方面不同，如签名一项，Android 系统也可以自签名，无需第三方证书。Android 系统以开放性为主，无论是应用程序数字签名方式、权限控制、发布渠道、应用程序审核等为开放性设计。

　　三、iOS 系统与Android 系统的安全性比较

　　下面将基于iOS 系统与Android 系统的安全性比较(详见表1 )，来分析不同的操作系统的安全机制及可能面临的风险差异。

　　比较来说，iOS 系统以封闭性为主，在软件开发、审核、发布等各个方面 均由苹果公司独立控制; 而Android 系统以开放性为主，无论是数据签名方式、开发平台、权限控制、安装方式、发布渠道、应用程序审核等都为开放性设计。

　　对于iOS 系统来说，由于应用程序仅能在苹果官方Xcode 开发平台上开发，用户仅能在苹果商店安装已经审核过的网上金融类客户端，因此面临客户端被篡改、下载恶意软件的可能性较小。

　　而对于Android 系统的用户，可以通过论坛、在线商店等下载程序。由于Android 系统的开放性、论坛、在线商店中的应用审核机制的不完善，众多应用程序都存在一定的安全风险。例如2011年4月4日有媒体报道称，Google Android Market 中出现21 款山寨版免费应用，这些应用均被植入了木马。

　　由于智能手机与PC 更加相近，手机系统自身的缺陷性，使其安全面临多种威胁，下面将对常见的几种威胁进行分析说明。

　　四、智能手机面临的主要威胁及安全建议

　　目前智能手机主要面临4 种威胁：物理威胁、系统威胁、网络威胁、应用威胁。这些威胁都能够通过智能手机终端给用户造成资金损失。

　　1.系统威胁

　　系统威胁主要包括越狱和ROOT 权限。对于iOS 而言，其系统安全所面临的最重要的威胁就是越狱。越狱是指利用iOS 系统的漏洞，通过指令取得iOS 的ROOT权限，开放用户的操作权限，使得用户可以随意擦写任何区域的运行状态，以安装和运行未经过官方认证的第三方程序、插件。通过越狱之后，用户可以使用更多的免费软件，使手机操作更加简单易用。根据iOS 系统安全机制，iOS 系统中文件系统不对用户开放，要传输资料到iPhone 上面只能通过PC 端实现iTunes 同步、苹果App Store 下载、第三方App 服务器下载。

　　对于安卓系统而言，其系统安全所面临的最重要的威胁就是ROOT 权限。因为安卓Android 系统的开放性，Android 版本也较多，各个手机厂家、运营商等在手机出厂时都会植入一些程序，且为了防止被卸载，这些应用程序拥有系统级权限。ROOT 就是为了取得手机的最高使用权限，以删除不需要的程序，或精简系统、改动系统配置。

　　越狱或ROOT 本身就是利用了系统的漏洞，建立在漏洞基础之上的系统自然不安全，且越狱或ROOT之后会产生默认的用户名、密码。越狱和ROOT 存在较大风险，因为越狱和ROOT 工具均是网友制作，本身就存在很大的安全隐患。2011 年XCON 大会上，就有黑客演示在iOS 4.1.2 越狱工具上添加恶意程序再发布的场景。另外，Android 越狱后的ROOT 没有设置密码;而iOS 4.2 越狱后的ROOT 密码统一为alpine。更值得注意的是，越狱或ROOT 后为恶意应用程序的扩散降低了门槛。

　　案例之一是在越狱环境下存在一款利用该漏洞的软件工具，名为iKey Monitor。利用此工具可以记录iPhone、iPad 的键盘输入信息，也可以查看上网历史、客户端输入信息、手机中的短信记录，甚至是删除的短信，还可以将信息发给远程邮箱。建议用户不对iPhone 手机进行越狱操作;安卓手机不进行ROOT 权限操作;假如已经ROOT、越狱，应及时修改默认密码。

　　2.网络威胁

　　网络威胁主要包括不恰当地使用蓝牙、红外及WiFi。目前，越来越多的公共场所利用免费WiFi吸引顾客，而无密码、或使用了较弱的WEP加密WiFi，很有可能就是无线钓鱼陷阱。案例之一是利用无线网络进行钓鱼，与智能手机客户端处于同一个局域网中的不法分子利用中间人攻击方法，获取用户登录信息，进行篡改后盗取资金(如图3所示)。针对这种威胁，建议智能手机用户只在需要使用蓝牙、红外、无线连接功能的时候开启，用完即关闭;使用的WiFi注意防范ARP嗅探;注意关闭手机的OpenSSH等远程访问功能;不使用不安全的网络代理;不在公共WiFi中进行涉及个人用户信息的登录、查询等操作;不使用无密码或WEP加密的网络。

　　3.应用威胁

　　应用威胁一般来自于恶意软件。随着智能手机的普及，越来越多的恶意软件出现在移动手机平台上，手机病毒也步入高发期。据中科院心理研究所发布的报告显示，68. 6% 的手机用户正面临移动安全威胁。手机网民的快速 增长，给手机恶意软件带来了敛财的机会。据中国移动提供的数字显示，5% 的手机曾经感染恶意软件。有关数据还显示，手机病毒产业链每年催生约10亿元10 亿元灰色收入。据统计，80 % 的手机恶意软件存在至少存在两种以上恶意行为。

　　案例之一是不法分子利用间谍软件，通过主控手机对被控手机进行短信窃听，也能对被控手机接收的短信进行篡改，甚至对其进行电话拦截。这样，不法分子能够窃取手机上收到的动态验证码，造成用户资金被盗。为此，建议广大智能手机用户在正规渠道购买手机：：从可信官方站点下载手机应用;安装APP 时，注意观察软件权限，阅读隐私条款;注意软件是否开启不正当定位功能;建议使用付费手机安全软件，谨慎选择免费手机安全软件;及时更新自带和第三方软件，修补旧版本漏洞;慎重点击短信、邮件中的超链接;对于手机银行业务，应从银行网站上下载网银客户端。

　　4.物理威胁

　　物理威胁主要包括手机的遗失或被盗、手机被借用偷用、SIM 卡被克隆、送修过程中资料泄密、手机丢弃资料泄密等。物理威胁的来源简单而常见，通常最不被重视。案例之一是手机被非法借用、偷用，被他人使用手机支付、手机转账，造成资金损失。针对这种情况，建议用户开启锁屏功能，设屏保密码;机不离身，借给别人用时要关注其行为;使用追踪定位软件，如find my iPhone：手机中不存储机密信息，注意清除敏感内容;到正规的手机维修点进行手机维修，送修前将手机卡取出，清除敏感信息。

　　随着智能手机用户不断增多，智能手机环境越来越接近PC，手机银行业务将具有更广阔的发展前景，也面临着更大的机遇和更多挑战。如何依据智能手机平台自身特点发展手机银行，同时兼顾手机系统的安全性，成为手机银行快速发展的关键。商业银行应充分利用现有技术，增加丰富各类安全措施，满足智能手机用户的金融安全需求，促使手机银行业务的飞速发展。