Android智能机顶盒的安全分析与研究

毛泽杰，吴蔚华

(国家广播电视产品质量监督检验中心，北京 100015)

Android智能机顶盒的安全分析与研究

毛泽杰，吴蔚华

(国家广播电视产品质量监督检验中心，北京 100015)

摘要:目前国内大多数智能机顶盒采用Android系统。Android系统最大的特点是开放性，这使得Android智能机顶盒面临严峻的安全形势。为了保证Android智能机顶盒的安全性，首先给出了Android智能机顶盒的定义，概述了智能机顶盒的安全现状，然后从整个产业链的角度对智能机顶盒的安全问题进行了分类，详细分析了智能机顶盒的安全威胁来源，最后详细介绍了智能机顶盒的安全防护策略。

关键词:智能机顶盒；信息安全；Android系统

随着三网融合的不断深入，彩电行业经历着巨大的变革。视频编解码技术的提升，显示技术更新换代，智能操作系统的普及，以及网络带宽的提升，电视已经正式步入了高清化、智能化、网络化时代。

智能机顶盒是智能电视的一种产品形态，由于价格低廉、功能丰富、使用方便，深受使用者的喜爱。目前，国内的智能机顶盒基本都采用Android系统。Android智能机顶盒是指除具备传统电视机顶盒功能外，搭载了高性能的处理芯片，配备了Android操作系统，拥有丰富的应用软件平台和内容平台，并且可以自由安装、卸载应用软件，可以对系统软件进行更新，满足用户个性化和多样化需求的产品。

然而，由于Android系统的开放性，在给人们生活带来娱乐与方便的同时，也将安全问题引入了电视领域，非法刷机、非法内容播放、安装非法应用软件、用户数据的丢失和篡改等问题使得智能机顶盒的安全面临着巨大的挑战。

1智能机顶盒安全问题分析

智能机顶盒是一个庞大的产业，涉及到内容、应用、网络运营、终端等多个方面。分析与解决智能机顶盒的安全问题需要从智能机顶盒产业链的整体环境着手。

1.1智能机顶盒的产业链

智能机顶盒产业链是一个多元化的系统，本文从应用和内容的维度将智能机顶盒产业链分为应用、内容、网络、终端4个部分(见图1)。

图1　智能机顶盒产业链

1.2智能机顶盒的安全分类

智能机顶盒安全威胁就是采用各种手段，试图利用系统的弱点、缺陷或漏洞，使得信息的私密性、完整性和可用性遭到破坏，并对用户甚至国家安全造成严重后果。智能机顶盒的主要安全威胁有以下几种情况[1]：

1)通过应用软件非正当渠道获取非法内容。

2)第三方应用携带木马病毒。

3)窃取用户的个人信息。

4)远程操控智能机顶盒。

5)破坏智能机顶盒的软件或硬件系统。

6)用户私有数据的丢失。

通过分析上述安全威胁，本文将智能机顶盒的安全进一步分类为第三方应用软件安全、内容安全、网络安全、终端安全。

1.2.1第三方应用软件安全

由于国内智能机顶盒采用的Android系统是开源的，开放的API接口使得任何的开发者和企业都可以进行第三方应用的开发。有些开发者有目的性地引用一些木马或者留有后门，还有些开发者水平有限，开发的应用存在漏洞，被一些不法分子所利用。而各个应用商店由于技术水平和监管方式不尽一致，使得这些存在缺陷的应用软件进入智能电视应用商店。一旦用户安装并运行这些应用，用户的个人信息、账户信息等隐私数据遭到严重威胁。

1.2.2内容安全

智能机顶盒作为广播电视播放的一种方式，搭载的内容播控平台必须经过广电总局批准和认可。目前广电总局已经批准了七家内容集成播控平台和14家互联网电视内容平台。但有些企业和互联网站仍然将自己开发的内容平台通过应用的方式向用户提供服务，其中就有一些自定义频道、翻墙和使用代理服务器的功能，使得境外和威胁国家安全言论的节目直接面向用户。

1.2.3网络接入安全

智能机顶盒一般都是通过路由器连接到互联网，互联网是开放的网络，计算机网络固有的缺陷会影响智能机顶盒安全。常见的有以下几种：

WiFi网络攻击。WiFi是智能机顶盒常用网络连接方式之一，而攻击者可以利用无线网络破解工具破解WiFi密码从而连接到内部网络，通过扫描智能机顶盒获取远程调试端口，从而通过该端口对智能机顶盒的系统进行远程操作和控制。

ARP协议漏洞。攻击者可以利用协议的漏洞，通过一些技术手段欺骗智能机顶盒、网关，从而对终端的数据进行窃取，对用户发送的数据进行侦听，使得用户的信息安全遭到严重威胁。

1.2.4终端安全

智能机顶盒终端可以分成多个层次，具体可以分为硬件层、系统层、用户数据层、应用层，详细的系统结构如图2所示。

图2　智能机顶盒终端结构图

智能机顶盒终端的安全可以分为硬件安全、系统安全、外围接口安全、用户数据安全。

1)硬件安全主要包括了电视芯片和智能芯片的安全，芯片的调试端口很可能被攻击者所利用，从而控制终端，攻击者可以远程操控智能机顶盒进行任何操作。

2)系统安全指的是保护系统的数据和信息，拒绝未授权用户的访问，拒绝未授权用户对信息的修改，并有相应的措施来检测和屏蔽威胁，从而使系统达到最佳的安全程度。

3)外围接口安全，智能机顶盒包含了多个外围接口，常见的有HDMI、RJ-45、USB、音视频接口、TF卡等接口，为用户提供了多种外围设备连接方式。用户使用外部设备接口与智能机顶盒连接时，需要进行提醒和确认，同时防止外设中的病毒或木马程序感染终端。

4)用户数据安全包含以下3个方面：

(1)私密性是指只有被授权程序才能读取或修改数据，未授权程序不能对数据进行操作；

(2)完整性是指数据合法没有被其他人篡改，所有的数据都是正确的状态；

(3)可用性是指数据被请求访问时，系统能够按照预定的性能级别提供访问服务。

2智能机顶盒安全防护策略

针对上述智能机顶盒的安全威胁，从应用、内容、网络和终端4个方面，对上述威胁提出相应的策略和解决方案。

2.1应用软件的安全性测试

Android系统的开放性，使得任何开发者都可以进行应用软件的开发，并通过应用商店面向用户。为了保证用户下载及使用应用软件的安全性，需要对应用软件进行安全检测与分析。应用软件安全检测的方法有静态分析法和动态运行分析[2]。

1)静态分析应用软件程序

静态分析法是指通过分析应用程序反汇编后程序代码的语法、结构、接口等来检查应用软件恶意行为的方法。

Android应用程序静态分析常用的工具有IDAPro和Androguard。IDAPro可以用快速定位Android程序的关键代码，Androguard工具包可以用来分析恶意软件。

常采用两种方法来静态分析Android程序：分析反汇编的Dalvik字节码和分析反汇编的Java源码。

2)动态运行分析

动态运行分析是指在应用软件运行时，对其运行的状态进行监控，获取执行跟踪、时间分析以及测试覆盖率等方面的信息，从而分析是否包含恶意代码的行为特征。

动态检测技术常采用状态对比和行为跟踪两种方法。状态对比是指采用对比方式对软件行为进行抽取分析，比较程序执行前后的系统状态。行为跟踪是在软件执行过程中，通过捕获软件的操作来进行软件行为分析。

2.2内容安全防护

当前，内容安全的主要问题是两种：第一种是有些视频类应用软件内置了自定义、翻墙和代理服务器的功能。第二种是可以通过输入IP地址，实现手机、PC机、智能机顶盒之间的内容共享。针对这些问题，需要在技术上进行屏蔽。有相关功能的应用应强制下架。

根据广电总局181号文件的要求，互联网电视内容服务平台只能接入广电总局批准设立的互联网电视集成播控平台。终端产品不得与其他访问互联网的通道，不得与网络运营企业的相关管理系统、数据库进行连接[3]。智能机顶盒终端产品只能绑定一家内容集成播控平台。只要各终端厂商严格执行，内容安全就可以得到保证。

2.3网络安全

智能机顶盒网络安全是计算机网络固有的问题，在技术上需要对网络协议进行更新换代或升级。同时用户在使用智能机顶盒时需要提升自身的安全意识。应用需要访问用户的信息、位置、通讯录等信息时，要对访问信息进行核实。用户可以根据需要安装专业的安全软件来维护智能机顶盒的安全。

2.4终端安全防护

智能机顶盒终端安全的防护包括硬件和软件两部分。有人提出了硬件安全防护从芯片层面来保证智能机顶盒设备终端的安全性方案[4]。此处从硬件安全威胁、Android系统的安全以及用户数据安全方面来进行分析。

1)硬件安全防护

智能机顶盒硬件平台具有高性能、整体化、紧凑化设计等特点。

智能机顶盒硬件安全有直接硬件攻击和软件攻击。硬件攻击一般是芯片的调制端口被攻击者所利用来控制终端，因此在产品出厂前调试端口应该被禁止。软件攻击是智能机顶盒硬件平台设计的特点，大部分是通过软件大量频繁地调用硬件设备，让硬件设备超负荷运作，使其寿命缩短。

2)Android系统安全

Android系统是基于Linux操作系统内核开发出来的，Android的安全模型继承了Linux内核的安全机制，并在进程管理、权限、进程间通信、内存管理、应用程序签名等方面都做了加强。Android系统的安全机制主要包括以下几个方面：

(1)进程沙箱

用户标识UID是给每个安装在Android智能机顶盒中应用程序分配的ID。UID与应用程序一一对应，UID在应用程序存在设备期间，保持不变。UID的使用使得每个应用程序都在应该独立的进程空间运行，与其他应用程序在资源上形成隔离，从而形成了应用程序的沙箱。被限制在“沙箱”中运行的应用程序之间互不干扰，把应用程序之间、应用程序与操作系统之间的损害降到最低。

(2)应用权限

沙箱将互不信任的应用程序进行了隔离，而ShareUserID则提供了互相信任应用程序之间的资源共享。在Android安全机制中，使用应用权限机制决定应用程序的API和系统资源是否允许访问。权限为Android系统的安全提供了保障，也为用户的某些特殊需求提供了实现基础。

(3)进程通信

进程通信为了使得程序间进行数据交换与服务而提供的一种机制。传统的方式有管道、信号、信号量、共享内存、消息队列等。虽然Android系统使用Linux内核，但在实际中Android是从组件的角度来实现通信的。

在系统安全方面，应用程序是基于权限机制定义进程通信的权限。 采用Binder进程间通信机制在类型安全上有优势。Binder是通过共享内存机制(Ashmem)实现进程通信，效率更高。

(4)内存管理

Android的内存管理机制有Ashmem匿名共享内存和LMK两种机制。

Ashmem机制是基于Linux内核的共享内存，但是Ashmem与cacheshrinker关联起来，增加了内存回收算法的注册接口，因此Linux内存管理系统将不再使用内存区域加以回收[5]。

LMK机制是在同时运行多个应用程序时，退出一个程序并不会立刻杀死它，而是将它先主流在内存中，缩短下次运行时的启动时间。

(5)应用程序签名

开发者开发每一款应用程序时，都需要使用密钥文件对其进行数字签名，是开发者的一种有效身份标识。如果软件运行时的签名与发布者不一致，说明应用程序被篡改了。当应用程序升级时，发现升级应用与原始应用的签名不一致，则将其作为一个新应用程序安装。应用签名还可以用来在相同签名的应用程序间建立共享资源关系。

3)用户数据安全

为了防止用户数据在用户未授权时，被其他人利用，造成用户私有数据和信息的泄露，可以采用权限控制的方法。通常的权限控制是指软件系统的权限控制，还可以采用硬件的权限控制方式，直接在硬件层面划分权限，可以达到权限控制的目的。针对传输数据被恶意篡改的现象，可以对文件进行加密保护，保证传输过程中数据的完整性。对于用户数据可能被删除的情况，可以采取对用户数据进行自动备份的机制。

3结束语

Android智能机顶盒的安全问题与整个产业链有着密切的联系，虽然在内容、应用、网络和终端上都有相应的安全措施，但这还远远不能满足要求。智能机顶盒的安全是一个长期性的问题，主要源于应用软件安全、网络安全和智能机顶盒终端安全的场景在不断变化。智能机顶盒的信息安全仅仅通过技术的防御和加强是无法从根源上解决的，还必须配合政策和管理。智能机顶盒的使用用户也需要不断加强安全意识，对应用软件的访问要严控，并及时对系统进行更新。

参考文献：

[1]宋杰，党李成，郭振朝，等.AndroidOS手机平台的安全机制分析和应用研究[J].计算机技术与发展，2010(6)：152-155.

[2]童振飞，杨庚.Android平台恶意软件的静态行为检测[J].江苏通信，2011(1)：39-42.

[3]广电总局.广电总局办公厅关于印发《持有互联网电视拍照机构运营管理要求》的通知(广办发网字[2011]181号)[EB/OL].[2015-08-08].http://www.360doc.com/content/13/1128/09/1841814_332745411.shtml.

[4]胡冰松，黄小桑. 一种安全的智能机顶盒实现方案[J].电信科学，2013(4)：33-36.

[5]吴倩，赵晨啸，郭莹.Android安全机制解析与应用实践[M].北京：机械工业出版社，2013.

责任编辑：许盈

SecurityanalysisandresearchofAndroidsmartset-topbox

MAOZejie,WUWeihua

(National Testing and Inspection Center for Radio and TV Products, Beijing 100015，China)

Abstract:At present, most of the smart set-top boxes use Android system. The greatest character of Android is open, which makes the Android smart set-top box facing with security threat. In order to protect the Android smart set-top box, firstly, the definition of Android smart set-top box is present, and the present status of safety of the smart set-top box is summarized. Secondly, from the angle of the whole industrial chain, the classification of the smart set-top box security is carried on, the source of security threat is analyzed in detail. Finally, the security protection strategy of the smart set-top box is introduced.

Key words:smart STB; information security; Android OS

中图分类号:TN949

文献标志码:A

DOI：10.16280/j.videoe.2016.03.017

收稿日期：2015-10-26

文献引用格式：毛泽杰，吴蔚华.Android智能机顶盒的安全分析与研究[J].电视技术，2016，40(3)：79-82.

MAOZJ,WUWH.SecurityanalysisandresearchofAndroidsmartset-topbox[J].Videoengineering，2016，40(3)：79-82.