基於行動通訊裝置數量不斷增加、功能變得更複雜、更精密和具金融消費的功能,都將影響行動裝置病毒發展趨勢,導致行動通訊裝置變成下一個攻擊目標。除此之外,行動通訊裝置結合了IEEE 802-based的通訊技術(例如:Wi-Fi和Bluetooth),使專門攻擊行動通訊裝置的病毒可經由各種途徑入侵。
緒論
隨著科技日新月異,手機已從過去僅是通訊產品,逐漸成為人們生活中不可或缺的生活必需品,而隨著行動通訊裝置的普及,也招來駭客及病毒的覬覦。根據俄羅斯知名防毒軟體公司 卡巴斯基實驗室的資料指出,手機病毒約以每個月6隻的速度成長,其帶來的危害多半以阻礙手機正常使用、偷 取 資料、盜 撥號、盜 傳簡訊等。近期甚至出現了手機 監 聽 病毒,該病毒會側錄下行動通訊裝置的通話內容以及簡訊等通訊資料,再透過3G等無線傳輸方式將資料傳出,顯示手機造成資料外洩是實際存在的問題。
行動通訊裝置資訊安全防護已不再只是口號,而是燃眉之急,應確實地落實在行動通訊裝置之中。還記得之前轟動一時的希爾頓飯店繼承人 巴黎絲希爾頓(Paris Hilton),她的手機被駭客植入手機病毒,遭 盜 取 手機內的通訊錄、個人行事曆與寫真照片;在這新聞的背後顯示了行動通訊裝置的資訊安全的防護不足。將來層出不窮的行動通訊裝置病毒及攻 擊,進而導致行動通訊裝置失效或個人隱私資料外洩,其所帶來的影響值得注意。
今年開始由於用戶運用手機上網的比率逐漸提升,且智慧型手機大量崛起,如SmartPhone、iPhone、PDA (Personal Digital Assistant)等,行動通訊裝置開發也已經進入成熟階段,再加上溝通、交流是社會文化中的必需品,因此行動通訊裝置已經成為人們日常生活不可或缺的隨身攜帶物品。根據近年來手機調查,現代人不只人手一機,甚至有多數人擁有三機以上,未來十年內人手一支智慧型行動通訊裝置也不是遙不可及。
根據Topology Research Institute (TRI)的統計顯示,全球手機產量在2007年將有機會到達11.5億支,並預估2008年全球手機產量可達13.67億支 [1]。由此數據顯示全球行動通訊裝置數量將逐年不斷增加,使用度更為普及,其中以內建Symbian作業系統的行動通訊裝置市佔率最高,達72.4 %,因此早期病毒都專為Symbian作業系統而寫;內建Linux作業系統則約佔13.3 %位居第二;內建Window Mobile及Research In Motion's (RIM)作業系統手持裝置,則分別為6.1 %及5.3 %,分佔市場第三、四名。目前全球行動通訊裝置作業系統市佔率如表1所示。
基於行動通訊裝置數量不斷增加、功能變得更複雜、更精密和具金融消費的功能,都將影響行動裝置病毒發展趨勢,導致行動通訊裝置變成下一個攻擊目標。除此之外,行動通訊裝置結合了IEEE 802-based的通訊技術(例如:Wi-Fi和Bluetooth),使專門 攻 擊 行動通訊裝置的病毒可經由各種途徑入侵。現有針對行動通訊裝置而來的病毒感染途徑包括,手持裝置與電腦進行同步(Synchronization)時或記憶卡交換資料時感染;透過紅外線 (Infrared Data Association;IrDA)、藍芽(Bluetooth)、整體封包無線電服務(General Packet Radio Service;GPRS)、3G(Generation)和3.5G通訊系統、Wi-Fi無線網路等傳輸協定,進行點對點或網際網路的連結作資料存取傳輸;透過簡訊服務(Short Message Service;SMS)、多媒體簡訊服務(Multimedia Messaging Service;MMS)、WAP Push等進行資料傳輸,WAP Push是一種WAP(Wireless Application Protocol)服務傳播技術,用戶可以從Web網站傳送一則含有URL的SMS到支援WAP Push的手持裝置,然後再利用手持裝置WAP瀏覽器上網並下載檔案;總而言之,感染途徑將隨著行動通訊裝置的功能越強大而擴增。
從2004年6月以來,已經發現手機病毒超過150種,全球被感染的案例達到上千個,但都是在國外,也由於病毒的肆虐,造就了行動通訊資訊安全的市場,根據資策會市場情報中心(Market Intelligence Center;MIC)研究報告顯示,2007年全球行動通訊資訊安全市場規模為二億八千萬美元(約新台幣九十一億),較去年大幅成長三成。資策會更預估,到二○一一年時,手機防毒、防火牆、加解密及防垃圾產品的需求帶動下,預期全球行動通訊資訊安全市場將有36.3 %的成長率;市場規模將挑戰九.六億美元(約新台幣三百一十二億)[10]。因此說明了全球科技產業對行動通訊資訊安全的重視。
重大行動資訊安全事件
最早攻擊行動通訊裝置的事件是在2000年3月,發生地點是在西班牙,病毒VBS.Timofonic主要透過電腦E-mail傳播感染,而不是行動電話系統,被感染的電腦會透過Moviestar.net簡訊功能傳送毀謗Timofonic訊息給Moviestar的會員,簡訊內容如圖1所示,雖然病毒未對行動裝置本身造成損害,但卻干擾其正常使用;實際上VBS.Timofonic只能算是一種電腦病毒,而行動通訊裝置是被攻擊的目標,因此防禦的方法就是移除電腦上不必要的服務,例如:FTP server,並更新修補電腦漏洞[11]。
2002年2月,一則致命的手機簡訊Hack.mobile.smsdos病毒正在歐洲蔓延,每天發送數量超過10億封短訊,起因是2002年一月時荷蘭安全公司ITSX (Information Technology Security Experts) [12]研究人員發現Nokia 3310、3330和6210型手機的操作系統存在著設計的缺陷,駭客可以利用該漏洞向手機發送一封160個字長度的畸形簡訊,導致手機的癱瘓;隔月該病毒同樣是利用Simens 35XX和45XX系列手機的設計上的疏失,簡訊是直接從電話語言功能表中任選一個單字,前面加個星號,並以引號圍繞者,例如「*English」或「*Deutsch」,只要用戶瀏覽該簡訊內容就會導致手機癱瘓並自動關機。最終解決方式是由Nokia和Simens自行修補該漏洞。
以上事件都不屬於手機病毒,而是電腦病毒引發攻擊行動通訊裝置的安全事件,至於真正的手機病毒主要是會在行動裝置間互相感染和影響,目前手機病毒主要有蠕蟲(Worm)和特洛伊木馬(Traojan horse)兩種;蠕蟲可以自動自我複製,行動裝置一旦被蠕蟲感染,就會自動蔓延。特洛伊木馬通常都會偽裝成一些應用軟體或遊戲進入使用者的電腦系統中,然後伺機執行惡意行為。
2.1. 蠕蟲
2000年9月,Phage.936病毒是第一個可以自我複製的PDA病毒並侵犯Palm OS PDA的核心檔案,因此被業者稱之為真正的攻擊PDA病毒。解決方案是透過McAfee與Symantec推出Palm OS的防毒軟體,防毒軟體的掃瞄引擎會掃瞄Palm PDA上所有應用程式,以檢視是否有病毒的存在,一旦偵測出病毒存在,就會提醒該使用者移除此病毒。
2004年6月出現了世界第一個真正的攻擊行動通訊裝置的Worm,是由國際病毒研究小組“29a”[14]製造了首種可以在行動通訊裝置之間傳播,被命名為Cabir的蠕蟲(worm)。Cabir專門攻擊最為行動通訊裝置普遍採用的Symbian作業系統,當病毒發作時,螢幕上會顯示“Caribe - VZ/29a”的字樣,並對手機的系統設定進行修改,如圖2所示。同時,主動透過Bluetooth搜尋周圍可能的感染目標,進而向目標發送一個名為velasco.sis的文件,Cabir病毒就隱藏在該文件內,感染目標是以Nokia Series 60系列的行動通訊裝置為主。
Cabir病毒感染其它行動通訊裝置前必須連過三關,首先,受感染的裝置需透過Bluetooth與感染源連線,接著並經使用者同意程式下載,下載完的程式安裝也必須經過使用者許可,由於病毒感染方式繁瑣加上每次只能感染一部行動通訊裝置,引發的災情只有消耗被感染裝置的電力,因此病毒的威脅程度受到限制。但值得注意的是Cabir從現身後到今年為止,已發展出24多種變種病毒[11],並至少超過20個國家被感染,主要擴散區域以歐、美和中國為主。
2004年7月,WinCE4.Dust病毒是29a病毒研究小組的另一實驗作品,它是第一個感染WinCE作業系統之行動通訊裝置的概念型病毒,同樣具有透過Bluetooth功能搜尋然後散播的能力,當病毒發作時,會出現如圖 3內容的對話框,如用戶選擇“Yes”,病毒只會更改根目錄下所有大於4096 bytes的檔案變成執行檔,如選擇“No”就可以結束病毒程序,因此該病毒並沒有對感染裝置造成任何重大的損害,被感染裝置依然可正常運作[11]。
2004年11月、12月和2005年1月短短三個月的時間內爆發18種Cabir.B-T變種病毒,除了能感染行動通訊裝置,還可以感染其它擁有Bluetooth功能的裝置(例如:列表機),而這些變種病毒的相同處是病毒感染目標都為安裝Nokia Symbian Series 60系列行動通訊裝置,和主動透過Bluetooth搜尋周圍感染目標;不同處是當病毒發作時,螢幕上會顯示不同的字樣,以及散播病毒的檔名,另外就是Cabir病毒隱藏在哪個資料夾內也會不同。杜絕Cabir變種病毒的方法有以下三種。
* 當Bluetooth沒被使用時,請關閉
* 將Bluetooth設定成隱藏模式,防止它人連線
* 確認其它Bluetooth連線裝置是否經過授權
2005年3月,第一起透過多媒體簡訊服務(Multimedia Message Service;MMS)傳輸的病毒為Commwarrior.A,感染對象是Symbian Series 60作業系統的行動通訊裝置,不同於Cabir只透過Bluetooth進行散播病毒,Commwarrior.A使用Bluetooth和MMS進行病毒散播將不限於近距離的感染,而是更大範圍的散播。使用者一但開啟此病毒發送的MMS簡訊後會自動執行病毒下載,下載完後病毒將不需經過使用者同意就會自動執行,並在系統上建立檔案,對裝置內所有連絡人發送MMS病毒。該病毒屬於概念型病毒,雖然會使中毒裝置的應用程式無法正常運作,但由於Symbian Series 60的行動通訊裝置僅在歐洲地區銷售,因此影響層面較小。
2008年1月,Beselo.A Worm病毒是透過Bluetooth和MMS感染Symbian OS的行動通訊裝置,特別是針對Nokia Series 60的行動電話,該病毒會監 聽 訊息接收部份,當新訊息送達時,病毒會自動回覆包含此病毒的MMS來感染其它行通通訊裝置。
2.2. 特洛伊木馬
2000年9月,Liberty Crack病毒,它是第一個攻擊PDA的Traojan horse病毒,並偽造成Palm OS作業系統上熱門遊戲軟體供PDA使用者下載,一但被執行後會產生當機、應用程式資料被清除等問題;該病毒主要透過三種管道感染,一、透過網路或E-mail下載病毒程式,二、PDA與電腦執行同步化,三、透過IrDA傳輸;但Liberty Crack病毒並沒有擴散造成任何威脅,因為中毒的Palm OS [7]只要重新啟動後就可以恢復。
2004年8月,Mosquito v2.0病毒主要是針對具有拍照功能的Nokia 7250、N70和N90等行動通訊裝置的Traojan horse病毒,又稱為蚊子木馬,該病毒隱藏在一被破解的射擊蚊子遊戲中,並供用戶免費下載,一但行動通訊裝置安裝該遊戲就會中毒,如圖 4所示。中毒後的行動通訊裝置會在用戶不知情的情況下自動發送簡訊或撥打英國一些特定電話號碼,造成手機費用暴增。解決辦法就是將該款遊戲刪除。
2004年8月,Backdoor.Brador.A病毒是第一個可以讓攻擊者遠端控制中毒行動通訊裝置的Trojan horse病毒,它只感染採用ARM-based處理器和Windows CE 4.2 OS (WinCE 4.2又稱為Windows Mobile 2003或Pocket PC 2003) 的行動裝置,病毒入侵後會將該裝置的IP address利用E-mail傳送給駭客,同時開啟TCP port 2989;駭客連線成功後可對該中毒裝置下達5種命令。解決辦法就是將該Brador.A產生的相關檔案刪除。
* 列出連絡人資料
* 上傳資料
* 顯示一訊息框
* 下載資料
* 執行特定指定
2004年11月19日,Skulls是Trojan horse病毒,該病毒主要感染Nokia Symbian Series 60的行動通訊裝置(例如Nokia 7610),並隱藏在免費軟體和Theme Manager for 7610程式中,用戶一旦下載並執行Extended theme.sys文件後,病毒就會刪除系統檔案導致用戶無法上網和開機,並將行動通訊裝置內的圖示變成骷髏頭,如圖 5所示。接著在11月30日發現Skulls變種病毒,稱之Skulls.B,此變種病毒除了保有Skulls的特性外,還與Cabir病毒結合,使該變種病毒可以透過Bluetooth感染其它行動通訊裝置,危害程度更大。
2007年7月,Flexispy [16]監聽應用程式首度亮相,Flexispy屬於Trojan horse-Spy病毒,啟動時不需要經過用戶同意就能開始執行,主要感染Symbian 作業系統的行動通訊裝置,安裝此監聽程式後,程式會立即隱藏起來,並鎖住該程式的檔案讓用戶無法移除,使用者則完全感受不到異常的情況;此程式帶來的威脅是會自動開啟電話錄音功能,使用者的通訊與簡訊內容會被側錄再傳送給特定人士。從感染方式的角度來看Flexispy 竊 聽 程式不算是病毒也不是Trojan horse,因為它必須有人去進行安裝與設定,程式本身也不會自行複製,並且該程式可以完全刪除掉,但從技術的層面來看,Flexispy竊 聽 程式實際上就是一種Trojan horse病毒,因為有心人事可透過該程式遠端控制,從而達到竊 聽 用戶資訊的目的。安裝和設定Flexispy竊 聽 程式的步驟如圖 6所示,安裝前須輸入一組安全碼,從而設定啟動竊 聽 和回報的事件。
2008年2月,Hatihati.A Trojan病毒是透過MultiMedia Card (MMC)記憶卡感染Symbian OS的行動通訊裝置,被感染的裝置會發送大量的SMS的訊息被特定的號碼,造成手機費用倍增。
今日行動資訊安全防護技術
我們主要針對電信業者和行動通訊產品這兩個觀點來探討今日行動資訊安全防護技術。
由電信業者提供的行動資安防護
從電信業者的觀點來看,著重在「任何安全保護服務應該首先安裝在網路上,而行動通訊裝置端的保護都是最後不得已的手段」,故電信業者應先掃瞄簡訊再轉傳,並移除掉惡意程式和加強網頁過濾,避免病毒對行動通訊裝置造成任何威脅,但仍有其它電信業者持不同意見。
2005年,中華電信(Chunghwa Telecom) [17]宣佈與Trend Micro策略聯盟,推出「手機防護精靈」(Trend Micro Mobile Security;TMMS) [18]。該服務針對手機上網族群對手機病毒防護的需求,可提供彈性化病毒掃描、病毒碼更新、簡訊過濾等功能,中華電信客戶可自行透過中華電信或Trend Micro網站下載防毒軟體。TMMS服務可提供自動、即時的病毒偵測與清除等多種彈性化設計,亦提供手動清除病毒功能;此外使用者亦可透過手機上網或與個人電腦連結,快速更新病毒碼以保持最佳防毒狀況。該服務並具備過濾簡訊功能,可設定攔截選項以過濾簡訊,包括設定傳送者黑名單與白名單、或過濾特定電話號碼來的簡訊。
瑞士行動電信公司Swisscom Mobile [19]在2006年10月採用符合Advanced Telecommunications Computing Architecture (ATCA)標準的FortiGate-5000 [20]安全平台。FortiGate-5000系列能提供防毒、入侵防護和網頁內容過濾等即時網路安全服務,並透過Fortinet的FortiGuard網路服務,使系統持續不斷的自動更新最新病毒資訊和防毒功能,確保能抵禦全球最新的Virus、Worm、Trojan horse和其它威脅。
在行動通訊產品上提供的行動資安防護
防毒軟體廠商認為行動通訊裝置安裝防毒軟體是勢在必行的事情,並認為「未來各行動通訊裝置都會執行一套防毒系統」,因此早在2000年Trend Micro [21] 就與日本第一大電信服務大廠NTT(Nippon Telegraph and Telephone)旗下的DoCoMo[13]合作,提供手機用戶無毒的通訊服務;另外Symantec、F-secure、Trend Micro、SimWorks[22]、McAfee[23]、Kaspersky[24]和Airscanner[25]等防毒軟體廠商從2003至今開發多套出適用行動通訊裝置的防毒軟體。
目前推出行動裝置內建防毒軟體如表5所示。Trend Micro發表2007年最新版本的行動裝置安全防護解決方案Trend Micro Mobile Security(TMMS) 5.0,具備資料加密與驗證功能,能遏阻非法入侵與資料外洩等行動裝置安全威脅,並且能讓企業的系統管理員透過單一主控台,集中控管所有手持裝置的安全防護措施[21]。Symantec,在2007年針對Windows Mobile 5 Pocket PC及智慧手機提供防毒軟體,讓所有重要端點受到滴水不漏的全面防護[11]; F-Secure Corporation,在2007年也提出F-Secure Mobile Anti -Virus防毒軟體,具備掃描行動裝置內和記憶卡所有可疑的病毒(Virus)、蠕蟲(Worm)和木馬病毒(Trojan horse)的功能。另外,F-Secure可透過WAP Push的SMS通知行動裝置更新病毒碼[15]。
全球領先的行動通訊裝置晶片製造商德州儀器(Texas Instruments;TI) [26]和ARM設計商[27]在2004年7月發表了聯合聲明表示,雙方目前已經結成戰略聯盟,共同致力於打造新一代的行動安全晶片。由於隨著行動資訊安全的問題日益嚴重,安裝於行動通訊裝置內的防毒軟體也變得更重要,但軟體安全的脆弱性可能導致駭客獲利,他們可能重新設定行動通訊裝置資訊,進行非法升級或造成網路安全漏洞。因此ARM TrustZone技術是直接在微處理器核心內實作的一種安全技術,它還能延伸進入系統設計,保護晶片內建記憶體和周邊硬體裝置。
ARM TrustZone技術可提供更強大的行動通訊裝置安全保護,TrustZone技術能為整個記憶體架構提供程式碼和資料的安全保護,ARM1176JZ-S和ARM1176JZF-S處理器是第一批增加ARM TrustZone技術的ARM核心,它能為行動通訊裝置提供更強大的安全保護功能。
TCG (The Trusted Computing Group) [28]組織於2006年9月13日正式公佈歷時三年才制訂出來的行動電話安全標準Mobile Trusted Module (MTM),主要是希望能讓行動通訊裝置製造商和應用軟體開發商在行動通訊裝置,以更安全的方式儲存資訊。MTM主要訴求各項行動通訊裝置的安全性,以確保其運作系統、應用軟體和資料不會在現實情境中被損害。它主要是將一可以輸入安全碼的「引擎」建置在行動通訊設備當中,容許可信任成員修改手機的作業系統或其它關鍵軟體,而且這組規格,除了能夠協助行動通訊裝置製造商和用戶減少被病毒攻擊和身份認證被竊取的風險之外,MTM還提供訂票服務和電子錢包的功能。
行動資訊安全之關鍵技術
電信業者部署網路安全服務
關注整體部署策略,首先考量整體效能,以便電信網路流量尖峰時期,能提供正常的安全服務;即時掃毒,隨著病毒的快速發展,因應之道就是發展出即時掃毒,以提供更新的掃毒能力;整合性的管理平台,業者可透過單一管理介面有效管理眾多的功能,並同時管理和設定所有佈署於電信網路之中的安全裝置。
行動通訊裝置之防毒軟體
目前的行動通訊裝置的防毒軟體安裝後檔案大小約為1MB,而病毒碼的大小約為90KB,對於記憶體容量錙銖必較的行動通訊裝置而言,則可能因此而影響使用意願,但由於近幾年半導體製程技術提升與行動通訊裝置的技術成熟,使行動通訊裝置的內建記憶體容量逐年變大,所以防毒軟體檔案大小對於行動通訊裝置影響較輕微,但要徹底解決不斷更新病毒碼將是關鍵因素。
行動安全晶片
隨著用戶對各種服務應用和需求的快速增長,行動通訊裝置製造商普遍面臨的問題是實現各種新功能的應用程式與搭配新的硬體設備時,行動安全晶片仍然可以滿足新行動通訊產品的安全性需求。
行動電話安全標準(MTM)
隨著TCG組織會員人數成長,MTM可支援不同的會員存取行動通訊裝置的核心程式,即使用多重來源信賴(multiple roots of trust)的技術,縱使是新加入會員仍然可以透過一組通行碼進行核心程式的修改,該組通行碼只能透過系統或用戶的私密資訊才能運算出來。因次當安裝一軟體時,該軟體業者需跟行動裝置製造商取得通行碼後,才能安裝至行動通訊裝置內。
未來發展趨勢
* 解決防毒軟體需不斷更新病毒碼的問題
* 擷取病毒特徵值技術
* 提昇手機晶片開發平台的彈性(Flexibility)和可擴充性 (Scalability)
* SIP-based電信網路之行動安全防護
* P2P-based電信網路之行動安全防護
* 異質行動電信網路(Heterogeneous mobile networks)之網路管理與安全防護
* 阻斷服務 攻 擊 之行動安全防護
* 網路部署行動安全防護之網路管理系統
* 新世代網路(Next Generation Networks)之整合式網路管理與安全機制
參考文獻
[1] Topology Research Institute, http://www.topology.com.tw/tri/
[2] Canalys, http://www.canalys.com/
[3] Symbian, http://www.symbian.com/index.html
[4] Linux, http://www.linuxdevices.com/
[5] Windows Mobile, http://www.microsoft.com/windowsmobile/default.mspx
[6] RIM Black Berry, http://www.rim.com/
[7] Palm OS , http://www.palm.com/
[8] Mac OS X, http://www.apple.com/
[9] Pew Internet & American Life Project, http://www.pewinternet.org/
[10] Market Intelligence Center (MIC), http://mic.iii.org.tw/intelligence/
[11] Symantec, http://www.symantec.com/index.jsp
[12] Information Technology Security Experts (ITSX), http://www.itsx.com/
[13] NTT DoCoMo, http://www.nttdocomo.co.jp/english/
[14] 29a, http://www.29a.net/
[15] F-secure, http://www.f-secure.com/
[16] Flexispy, http://www.flexispy.com/
[17] Chunghwa Telecom, http://www.cht.com.tw/
[18] TMMS, http://www.trendmicro.com.tw/tmms/service.htm
[19] Swisscom Mobile, http://www.swisscom-mobile.ch/scm/scm_home-de.aspx
[20] Fortinet, http://www.fortinet.com/
[21] Trend Micro, http://us.trendmicro.com/us/home/
[22] SimWorks, http://www.simworks.biz/sav/AntiVirus.php?id=home
[23] Mcafee, http://www.mcafee.com/
[24] Kaspersky, http://usa.kaspersky.com/
[25] Airscanner, http://www.airscanner.com/
[26] Texas Instruments (TI), http://www.ti.com/
[27] ARM, http://www.arm.com/
[28] Trusted Computing Group (TCG), https://www.trustedcomputinggroup.org/home