【IT168 专稿】最近《世界新闻报》因深陷“窃听门”而被迫关闭,一幕幕窃听丑闻被公之于众,并引一系列不良连锁反应,各国政界名流、影视明星等纷纷自危。所谓“窃听门”就是雇佣私人侦探、用窃听电话的非法手段获取内幕新闻。现在公众们质疑手机安全的呼声越来越大。无独有偶的是苹果手机利用后台隐蔽程序后台收集数据 用户行踪轻易易被泄露, Alasdair Allan和Pete Warden两名程序员发现,其操作系统里有个Consolidated.db是一个缓存文件,其中保存了用户行踪的信息,而且在处理这些数据时,苹果也并未采用任何加密措施,也就是说能轻易被其他人截获。
实际上这种潜伏在手机中的卧底软件我们叫它Rootkit,它是最早来源于计算机系统。在1994年2月的一篇安全咨询报告中首先使用了Rootkit这个名词。这种程序的出现立刻引起计算机安全人员的注意,无论是做恶意行为的攻击者,还是进行安全监视的维护人员,这种能够“隐身”运行的程序都是一个非常好的解决办法。由于Rootkit使用了多种复合技术,使其不被传统安全软件检测出,相比于桌面操作系统平台,移动手机平台上的安全软件严重匮乏,加上垃圾短信和浏览有安全隐患的网站致使手机会频繁“中招”, 对监听者而言现在的智能手机是较好的目标。它既能打电话又能访问互联网络。这样恶意软件编写者就更加注视对智能手机的攻击,也正是由于Rootkit程序可以成功地将自己隐藏于系统之中,为此,它必须与运行的操作系统紧密相连,利用一些十分底层的核心技术来实现“隐身”。利用这些技术的时候,往往需要程序运行时具有系统最高权限,这样Rootkit程序就具有了最高权限。
一、Rootkit的危害
对于任何的手机病毒程序来说,它首先需要成功地将自己存储在被感染的手机存储器上,也就是手机自带的内存或者存储卡。如果被感染的目标手机系统上安装有杀毒软件或者安全软件,这些软件往往会带有对手机文件系统监视的功能。当手机上的存储器中的文件数目发生变化的时候,这些软件就会马上发现这种变化,进和VJ自己到被感染手机的存储器上时,杀毒软件或者安全软件发现此时的手机文件系统正在创建一个新的文件,它们就会马上启动扫描程序,扫描程序开始检查这个新的文件是不是一个病毒程序,如果是,那么病毒刚刚复制完毕自己到手机上时,它就会被杀毒软件或者安全软件删除了,根本不可能得到运行的机会。
然而,杀毒软件以及安全软件的这种文件系统监视功能,在一般情况下,会存在一个时间差。手机系统公布出来的一些系统函数或者方法由于一定的经济利益以及安全限制,并没有将系统底层的核心技术公布出来,当杀毒软件以及安全软件的开发者采用这些“不完整”的系统函数或者方法开发软件的时候,这些被开发出来的功能很可能就不够反应迅速,存在一定的弊端。例如对于Symbian系统使用的一些文件系统监视方法,它就会有一定的延迟。
并且对于杀毒软件以及安全软件来说,病毒的种类千差万别,不可能对每一种新出现的病毒程序都有特征记录,于是病毒程序还是能够成功创建自己到目标手机的存储器上。到了这一步,一般的病毒程序就开始运行自己,然后进行工作。但是,对Rootkit程序来说,它的情况就与众不同了。Rootkit程序最核心的目的就是在于能够利用手机系统的底层技术,来达到一些“高级”的目的。这其中,隐藏自己的存在就是一个高级目的。
很多时候,手机的使用者会检查自己的手机状态,例如他会看看自己的手机究竞存放了哪些文件,如果没用或者没见过,他就会删除这些他认为是“垃圾”的文件。而对于杀毒软件以及安全软件来说,它们很可能会进行定期扫描,例如在每天的12点对手机内存上的所有文件进行一次扫描,目的是发现可能存在的病毒程序。这些情况往往会导致一些病毒程序会被发现,不能够继续工作。那么,如果一个病毒程序采用了某种技术,将自己从手机上的文件系统上“隐藏”起来,让手机使用者以及手机杀毒软件乎全软件都无法发现自己,那么病毒程序就可以为所欲为的进行破坏与感染了。Rootkit就是这样一种可怕的病毒程序。
在设计手机系统时,很可能也采用了一些未公开的方法来实现一些特殊目的,通常这些方法都是极其保密的。但是,对于手机病毒的制造者来说,他们会深入分析手机系统的内部实现原理,从而找出这些未公开的方法。这些未公开的方法中很可能就涉及到文件系统的一些底层技术。Rootkit将这些文件系统的底层技术利用起来,让自己从系统中“消失”,甚至会迷惑了手机系统本身。