PDF《智能终端安全现状及前景展望》

3 所示. 图3X卧底原理图 X 卧底的功能和危害如下: ? 泄露个人隐私 ? 个人隐私数据都被发送到第三方服务器上;

? 终端变成窃听器 ?非法窃听电话,当设定号码呼入时,自动接通, X 卧底 导致移动终端既不会响 铃也不会振动, 拨打者可对移动终端周围的声音非法窃听. 当被非法窃听移动终端有键盘动 作时,自动挂断电话;

非法窃听过程中,其他电话呼入会提示当前用户忙.

4

3、智能终端平台安全差异性较大 目前的主要操作系统平台有 Android、iPhone、Windows Phone7 以及 Symbian.虽然恶 意软件在各个平台都存在,但由于各个平台的安全机制差异甚大.其结果是,不同厂商的智 能终端面临的安全风险截然不同.甚至同样的操作系统,由于不同 OEM 对其安全加固程度 不同,也呈现出不同的安全特性. (1) Windows Phone

7 平台 Windows Phone

7 没有继承 Windows Mobile 的开放性,反而学习了 iPhone 的封闭性. 在Windows Phone

7 中,应用程序商店 Marketplace 将会是 Windows Phone

7 移动终端安装 应用程序的唯一方式, 不支持通过其他方式来安装程序包. 这将在一定程度上杜绝盗版软件, 吸引开发者. Windows Phone

7 的应用程序模型目前主要支持第三方应用在前台执行,不完全支持后 台应用,这样能够在一定程度降低系统风险(但第三方怎么拦截垃圾短信?) .从API 开发 层面来说,Windows Phone

7 缺省没有读取通话记录、短信等的 API,保护了用户的隐私. 另外发短信、打电话也需要用户确认,防止了恶意扣费.Windows Phone

7 没有提供直 接操作这些(SMS、Phone、E-mail、Camera)的API.但是这并不等于不能做,在Windows Phone

7 中可以通过 Task 来调用系统的任务 (就好比用户手动操作, 因此需要用户按键确认) 来完成. 也就是说, 要打开系统的相关应用才能拨打电话、 发送短信、 保存联系人、 拍照等. 举个发短信的例子,代码如下: 1. using Microsoft.Phone.Tasks;

2. SmsComposeTask sms = new SmsComposeTask( );

3. sms.To =

0123456789 ;

4. sms.Body = Some prefilled text... ;

5. sms.Show( );

执行效果如图

4 所示,只是弹出系统的短信框(即通 过Task 调用系统的短信应用) , 并不能直接发短信, 而是需 要用户的介入(点击发送) .

5 图4WP7 发短信 (2) iPhone 平台 iPhone 从一开始就是完全封闭的,封闭有利有弊,对安全却是有好处的.比如,iPhone 缺省没有读取通话记录、短信等的 API,这保护了用户的隐私;

调用显示用户位置信息的 API 也会弹出提示信息.另外,iPhone 也不允许使用 API 直接发短信和打电话,都需要用户 确认,这样间接减少了恶意订购和恶意话费的风险. (3) Android 平台 iPhone 等平台不提供程序直接发短信等功能的接口,避免了恶意订购等行为的发生. Android 则把决定权交给了用户,由用户决定一个程序是否可以直接发短信.Android 要求 开发者在使用 API 时进行申明,称为 permission.这样对一些敏感 API 的使用在安装时就可 以给用户风险提示,由用户确定是否安装. 例如,要监控是否有短信到达,需要在 Android Manifest 文件中进行如下设置: 但让用户承担这个决策责任目前看来风险很大.用户下载和安装软件时心情很紧迫, 哪顾得上弹出来什么信息,通常都是直接点确定! 而且,仅靠这些 permission 信息确定软件 是否是恶意的,也没有太多依据.