2023年智能手机软件漏洞现状.docx

智能 软件漏洞现状 摘 要：该文主要针对智能 软件漏洞的现状，阐述其对广阔用户 中存储的个人信息、财产平安等造成的威胁。软件漏洞与信息平安息息相关，在当前“互联网+〞时代广泛影响人们的日常生活。文章围绕这方面将其分为智能 系统的特点，恶意软件的捆绑技术，用户信息平安防护三局部。该文作者从软件漏洞原始产业链的开展谈起逐步到当前智能 系统以及软件漏洞这方面，认为软件的漏洞来源于软件开发技术，软件漏洞利用基于个人经济这方面的原因。 关键词：智能 软件漏洞 系统检测 信息平安 中图分类号：TP309.5 文献标识码：A 文章编号：1674-098X（2023）11（c）-0163-02 随着互联网技术的普及，网络开始渗透并广泛地影响广阔群众的生活，信息技术的高速开展极大方便了人们的日常生活，除此之外，其它方面例如：消费、通信等方面受到互联网影响的范围也越来越广，当前，在使用智能 的软件注册用户时，个人的相关信息都会与之绑定，这方面被很多第三产业链人员以 系统漏洞作为媒介通过网络对系统进行攻击。利用这些漏洞会造成重要信息的泄露，对个人财产也造成一定程度的威胁，从而不法分子到达非法目的。因此网络平安、信息平安应当成为关注的焦点。文章从以下几方面展开论述。 1 系统 系统是运行在 终端的操作系统，主要有Android、IOS、Firefox OS、YunOS、Windows Mobile等。操作系统是管理和控制计算机硬件与软件资源的程序，直接运行在“裸机〞上的系统软件，任何其他软件都必须基于操作系统的支持才能运行。 智能 的操作系统是一种运算能力及功能比传统 更强，更灵活地操作系统。目前使用最多的操作系统是Android、IOS，它们彼此之间的应用软件互不兼容。智能 可以安装第三方软件，所以智能 有丰富的功能。而且，当前群众使用的智能 能够显示与个人所显示一致的正常网页，安装功能相同的软件，具有优美的用户界面，它有很强的应用扩展性，用户能方便地安装和删除应用程序。 1.1 IOS IOS的智能 操作系统的原名为iPhoneOS，它的核心技术与Mac OS都是源于Apple Darwin操作系统。它的系统架构从上到下可以分为四个层次：核心操作系统（the Core OSlayer），核心效劳层（the Core Serviceslayer），媒体层（the Media layer），可轻触层（the Cocoa Touchlayer）。 IOS主要由2局部框架组成：在iPhone和iPod touch设备上运行的软件程序的技术；它自身使用基于ARM架构的中央处理器，而不是X86处理器。 1.2 Andorid Andorid是以Linux为根底的开放源代码操作系统，该平台由操作系统、中间件、用户界面和应用软件组成。它广泛使用于便携移动设备，当前主要应用于智能 和平板。在正式发布之前，最开始有两个内部测试版本：AndroidBeta，Andorid 1.0。现在Android操作系统从 逐渐扩展到平板及其他领域上：电视、数码相机、游戏机等电器领域。 Andorid的系统架构采用了分层结构，从高层到低层分别是：应用程序层，应用程序框架层、系统运行层和Linux内核层。 1.3 应用程序 Android同一系列核心应用程序包一起发布，包括客户端、MS短消息程序、日历、地图、浏览器、联系人管理程序等软件，实现了 软件的多样性、多功能性。同时，相应的官网也定期发布对系统进行免费更新的补丁。 1.4 应用程序框架 开发人员也可以完全访问核心应用程序锁使用的API框，其架构设计简化了组件的重用：任何一个应用程序都可以发布它的功能模块并且任何其他的应用程序都可以使用它所包含的功能块。 1.5 系统运行库 Android包含一些C/C++库，这些库能被Android系统中的不同组件使用，它们通过Android应用程序框架为开发者提供效劳。其包含一个核心库，其中提供大局部java编程语言核心类库中可用的功能，最终，Android中任何应用程序都是Dalvik虚拟机中的例子。 1.6 Linux内核层 内核作为一个抽象层，存在于硬件层和软件层之间。在Android系统中增强下几方面：硬件时钟（alarm）、内存分配与共享（Ashem）、低内存管理（low memory killer）、kernel调试（kernel调试）、日志设备（LogCat）、android IPC机制（Binder机制）、电源管理（power management）。 2 软件漏洞 通常，在IT行业中能够使软件做一些“超出自身设计范围的事情〞的bug称为漏洞（vulnerability），其大局部是在硬件、软件、协议的具体事项中或是系统平安策略中存在的缺陷，被不法者利用作为通信媒介，通过植入木马、病毒、恶意代码等方式攻击或者控制被攻击者的主机，从而可以使攻击者在未授权的情况下访问或控制被攻击者的操作系统，窃取用户的重要资料和个人信息。主要分如下2种。 （1）功能性逻辑缺陷（bug）：影响软件的正常功能，例如：软件执行结果错误、无法安装、不能加载图像、图标显示错误等。（2）平安性逻辑缺陷（漏洞）：通常情况下不影响软件的正常功能，一旦被攻击者成功利用后，会引起软件去执行植入的恶意代码。其中包括软件中的缓冲区溢出漏洞、网站中的跨站脚本漏洞（XSS）、蠕虫、DDOS攻击等等。 软件漏洞产生的原因是系统漏洞被第三方利用作为跳板，将重要的参数传给不可信的第三方，第三方可随意修改这个参数，再回传给系统本身执行。恶意软件利用系统漏洞可以发送任意播送，甚至可以无视接受者的属性限制给任意应用发送播送，调用其他应用的内部功能。同时，给用户造成全面威胁。分别有以下几点。 2.1 系统坏死 造成 系统拒绝效劳， 用户将不能正常访问内存、进程甚至无法上网，甚至导致 系统不能启动，电池耗电速度加快等等。 2.2 伪造发信人和短信 攻击者可能利用系统漏洞伪造任意短信内容和发信人，传播大量的病毒和诈骗短信，发送恶意链接，导致收信人遭受骗造成财产损失。 2.3 彻底去除用户 数据 恶意程序利用系统漏洞，可以将系统恢复至出厂设置，重要数据将被完全清空，无法恢复。 2.4 泄露用户个人信息 一些软件利用其掌握的庞大客户信息，例如：用户的姓名、生日、 号码、通信录、地理位置等，赚取用户所不知道的高额回报。用户信息一旦泄露，不仅会遭到广告、垃圾短信的骚扰，同时也遭受诈骗的危险性。 2.5 恶意软件吸费 一些 游戏自动在后台执行“吸费〞的程序，私自发送扣费短信，拦截扣费提醒短信。此外，恶意代码还通过伪装成各类热门的 应用程序，用户装入 后依据预设指令控制终端设备执行恶意行为。 2.6 捆绑软件的平安性 通过强制或静默安装软件，欺骗或诱导捆绑安装软件，甚至强制用户安装不需要的软件。而对于用户来说，这些被捆绑的软件可能并非是他们所需要的，然而捆绑的软件也可能存在平安问题。 软件漏洞是软件质量导致的信息泄露主要途径之一，攻击者利用漏洞进行攻击一般大致分为以下三步：漏洞挖掘、漏洞分析、漏洞利用。为了更好地维护个人信息、财产平安，应当谨慎对待一些短信中的网址链接，对于不需要的 软件要谨慎安装。 3 信息平安 当前信息时代，Andorid、IOS操作系统为代表的移动智能终端平台迅速普及，构建在其上的各种功能类型的软件越来越多，尤其在电子商务、网银支付、社交网络等，这些领域即将逐渐成为黑客挖掘漏洞的主要对象。然而， 软件的开发基于ARM构架和Dalivk虚拟机等平台开发的。当前主流漏洞分析工具主要面向Windows、Linux操作系统平台上的应用软件。因此，在移动通信领域，探索新型平台相关的漏洞分析技术，开发应用于这些平台的漏洞分析工具，将成为漏洞挖掘的产业领域的开展趋势。 漏洞是信息平安问题的根源之一，软件漏洞分析技术是信息平安和软件质量保障的重要手段之一。然而，分析漏洞的过程通常与软件生命周期相互结合，分别有：（1）设计阶段进行软件架构的平安性分析，了解软件架构中存在的威胁，发现其存在的设计错误。（2）开发阶段进行软件源代码的平安性测试分析，深入了解代码自身存在的固有问题，由此发现编码自身的缺陷（defect）。（3）测试阶段可执行代码的平安性分析，了解软件在实际运行中可能出现的平安问题，由此发现运行过程中的故障（fault），以采取相应的措施进行补救，防止发生故障，减少不必要的漏洞。 未来的信息时代，智能 的平安防御措施会有如下几方面的开展：（1）修复系统漏洞，加强系统权限的管理。 操作系统本身就有很多漏洞，它本身只是在系统升级的时候才有修补漏洞的措施，因此，系统的一些漏洞可能会长时间的被黑客所利用。另外，Android系统的权限管理是相比照拟薄弱的，现在市面上有很多一键root工具，针对 Android智能 的root权限提升，协助用户获得root权限，因此，加强权限管理也是加强系统自身防护。（2）用户 本，短信等私人信息的保护。在 中会有大量的用户私密信息存在，而在Android机制下，这些共享信息可以被所有的应用程序申请权限访问，因此，用户信息泄漏的威胁会更大。（3）随着智能 硬件和软件的开展， 的数据处理能力越来越强，可以支持更多的恶意软件检测手段。除此，用户自身也要加强信息防护的意识，安装适合 系统的杀毒软件，定期清理垃圾文件，不轻易点开短信链接等等，进一步提高维护 平安性的意识。 4 结语 当前，智能 已经广泛渗透到日常生活的方方面面。从平安角度来讲，用户不轻易越狱系统终端，否那么，相当于自己亲手为恶意代码的植入翻开通道。同时下载安装 软件，最好从Google Play商店这种平安的受信任正规渠道。此外用户需要时常进行 流量监控。在通过微信、支付宝等互联网方式进行移动支付、网络购物时，仔细核对相关信息，谨慎操作，防止个人信息泄露及财产损失。希望该文起到抛砖引玉的作用，帮助大家提高对智能 信息平安的警惕性。 参考文献 [1]jzheng_1. 系统[EB/OL].[2023-12-01]. ：//baike.baidu /. [2]王继刚.0day平安：软件漏洞分析技术[M].2版.电子工业出版社，2023：201-212. [3]何志昌.Android平台应用程序恶意行为检测方法研究[D].哈尔滨工程大学，2023. [4]王鹏程.Android智能 信息平安研究[D].中国海洋大学，2023. [5]韦韬，王贵驷，邹维.软件漏洞产业：现状与开展[J].清华大学学报：自然科学版，2023（S2）：2087-2096.