移動智能終端安全課件：移動智能終端硬件體系結(jié)構(gòu)及面臨的安全威脅

移動智能終端硬件體系結(jié)構(gòu)及面臨的安全威脅2.1硬件體系結(jié)構(gòu)概述2.2MCU2.3傳感器2.4存儲設(shè)備2.5對外接口2.6面臨的安全威脅小結(jié)

2.1硬件體系結(jié)構(gòu)概述

移動智能終端硬件體系結(jié)構(gòu)如圖2-1所示。圖2-1移動智能終端硬件體系結(jié)構(gòu)圖

以中央處理器(CPU)內(nèi)核為核心，移動智能終端硬件系統(tǒng)可分為三個層次：內(nèi)核、SoC設(shè)備和板級設(shè)備。

(1)CPU和內(nèi)部總線構(gòu)成移動智能終端硬件系統(tǒng)的內(nèi)核，提供核心的運算和控制功能。目前智能終端使用的CPU內(nèi)核以ARM居多，主要有ARM9、ARM11等架構(gòu)。

(2)

SoC設(shè)備與內(nèi)核集成在同一芯片上，通過內(nèi)部總線與CPU內(nèi)核互連，SoC設(shè)備一般包含存儲控制器(如Flash控制器)、藍牙設(shè)備、WiFi控制器等。

(3)板級設(shè)備通過SoC設(shè)備與CPU連接，板級設(shè)備通常是一些功能獨立的處理單元，如Flash芯片、藍牙接口、WiFi網(wǎng)卡等。

2.2MCU

1.概述

MCU(MicroControllerUnit，微控制單元/單片機)是將中央處理器(CPU)的頻率和規(guī)格做適當(dāng)縮減，并將內(nèi)存、計數(shù)器、USB、A/D轉(zhuǎn)換器、UART、PLC、DMA等接口整合在單一芯片上所形成的芯片級計算機。MCU可以為不同應(yīng)用場合做不同的組合控制。MCU的特點主要有：

(1)高集成度，體積小，可靠性高。MCU將各功能部件集成在一塊晶體芯片上，集成度高，體積很?。籑CU將程序指令等固化在ROM(只讀存儲器)中以達到不易被破壞的特點，從而可靠性很高。

(2)控制性能強。MCU具有非常豐富的指令系統(tǒng)，適用于專門的控制功能。

(3)低電壓，低功耗，便于生產(chǎn)便捷式產(chǎn)品。MCU的工作電壓僅為1.8～3.6

V，工作電流僅為幾百微安。

(4)易擴展。MCU外部有供擴展用的三根總線和管腳，容易組成各種規(guī)模的計算機應(yīng)用系統(tǒng)。

(5)優(yōu)異的性能價格比。MCU性能優(yōu)越，銷量大，價格低，性價比極高。

2.

ARM

ARM芯片是MCU的一種。ARM芯片具有功耗低、成本低的特點，特別適用于移動設(shè)備。ARM目前主要授權(quán)ARM9、ARM11和Cortex三個系列的芯片設(shè)計。

ARM9：采用馮·諾依曼體系結(jié)構(gòu)和三級流水線，提供0.9

MIPS(在工作頻率為1

MHz情況下)的指令執(zhí)行速度。

ARM11：采用哈佛體系結(jié)構(gòu)，指令和數(shù)據(jù)分屬不同的總線，可以并行處理，采用五級流水線。

Cortex：目前ARM公司最新的指令集結(jié)構(gòu)，表示的是ARM11之后的一系列處理器。

3.

MCU的主要分類

1)按用途分類

通用型：將可開發(fā)的資源(ROM、RAM、I/O、EPROM)等全部提供給用戶。

專用型：硬件及指令按照某種特定用途來設(shè)計。例如錄音機機芯控制器、打印機控制器、電機控制器等。

2)按處理的數(shù)據(jù)位數(shù)分類

根據(jù)總線或數(shù)據(jù)暫存器的寬度，MCU又分為1位、4位、8位、16位、32位甚至64位等不同類別。

3)按存儲器結(jié)構(gòu)分類

MCU根據(jù)存儲器結(jié)構(gòu)可分為哈佛結(jié)構(gòu)和馮·諾依曼結(jié)構(gòu)。目前的MCU絕大多數(shù)基于馮·諾依曼結(jié)構(gòu)，這種結(jié)構(gòu)定義了嵌入式系統(tǒng)所必需的基本部分：一個中央處理器核心、程序存儲器(只讀存儲器或者閃存)、數(shù)據(jù)存儲器(隨機存儲器)、一個或多個定時/計時器，還有與外圍設(shè)備及擴展資源通信的輸入/輸出端口，這些都被集成在單個集成電路芯片上。

2.3傳感器

1.傳感器的分類

(1)傳感器按照輸出信號可分為模擬式傳感器和數(shù)字式傳感器。①模擬式傳感器：輸出信號為模擬量的傳感器。②數(shù)字式傳感器：輸出信號為數(shù)字量或數(shù)字編碼的傳感器。

(2)傳感器按照作用形式可分為主動型和被動型傳感器。

主動型傳感器分為作用型傳感器和反作用型傳感器。主動型傳感器向被測對象發(fā)出一定的探測信號，檢測探測信號在被測對象中所產(chǎn)生的變化，或者由探測信號在被測對象中產(chǎn)生某種效應(yīng)而形成信號。檢測探測信號變化方式的傳感器稱為作用型傳感器，檢測產(chǎn)生響應(yīng)而形成信號方式的傳感器稱為反作用型傳感器。雷達與無線電頻率范圍探測器是作用型傳感器實例，而光聲效應(yīng)分析裝置與激光分析器是反作用型傳感器實例。

(3)傳感器按照其構(gòu)成可分為基本型傳感器、組合型傳感器和應(yīng)用型傳感器。

基本型傳感器是最基本的單個變換裝置。組合型傳感器是由不同的單個變換裝置組合構(gòu)成的傳感器。應(yīng)用型傳感器是基本型傳感器或組合型傳感器與其他機構(gòu)組合而構(gòu)成的傳感器。

2.傳感器的應(yīng)用

移動智能終端設(shè)備中傳感器的應(yīng)用十分廣泛，具體表現(xiàn)為以下幾個方面：

(1)方向傳感器：可返回角度數(shù)據(jù)，主要應(yīng)用于移動智能終端的運動數(shù)據(jù)、路線規(guī)劃等。

(2)光線感應(yīng)傳感器：可檢測實時的光線強度，相應(yīng)地調(diào)整移動智能終端的屏幕亮度。

(3)接近傳感器：可檢測物體與手機的距離，應(yīng)用于接聽電話時自動關(guān)閉屏幕以節(jié)省電量。

(4)陀螺儀傳感器：可檢測轉(zhuǎn)動、偏轉(zhuǎn)等動作，還可用于導(dǎo)航等。

2.4存儲設(shè)備

2.4.1內(nèi)部存儲器手機內(nèi)存包括ROM(作為機身內(nèi)存)、RAM(作為運行內(nèi)存)和內(nèi)存卡。手機的RAM相當(dāng)于計算機的內(nèi)存，ROM和內(nèi)存卡相當(dāng)于計算機的硬盤。

1.

RAM

RAM(Random

Access

Memory，隨機存取存儲器)是與CPU直接交換數(shù)據(jù)的內(nèi)部存儲器，可以隨時讀寫且速度很快。RAM一般作為操作系統(tǒng)或其他正在運行的程序的臨時數(shù)據(jù)存儲媒介。RAM具有易失性、隨機存取、訪問速度快、對靜電敏感、可再生等特點。

(1)易失性。當(dāng)電源關(guān)閉時，RAM不能保存數(shù)據(jù)。

(2)隨機存取。當(dāng)存儲器中的數(shù)據(jù)被讀取或?qū)懭霑r，所需時間與數(shù)據(jù)所在的位置或?qū)懭胛恢脽o關(guān)。

(3)訪問速度快。RAM幾乎是所有訪問設(shè)備中寫入和讀取速度最快的，其存取延遲與其他存儲設(shè)備相比，顯得微不足道。

(4)對靜電敏感。RAM對環(huán)境的靜電荷非常敏感。靜電會干擾存儲器內(nèi)電容器的電荷，導(dǎo)致數(shù)據(jù)流失，甚至燒壞電路。因此，觸碰RAM前，應(yīng)先消除所帶靜電。

(5)可再生(需要刷新)?，F(xiàn)代的RAM依賴電容器存儲數(shù)據(jù)，電容器充滿電代表“1”(二進制)，未充電代表“0”(二進制)。由于電容器存在漏電的情況，如果不做特別處理，數(shù)據(jù)會漸漸流失。刷新操作是指定期讀取電容器的狀態(tài)，并按照原狀態(tài)重新為電容器充電，彌補流失的電荷。需要刷新的特點也解釋了RAM的易失性。

根據(jù)存儲單元的工作原理，RAM可分為靜態(tài)隨機存儲器和動態(tài)隨機存儲器。

(1)靜態(tài)隨機存儲器(Static

Random

Access

Memory，SRAM)。靜態(tài)存儲單元是在靜態(tài)觸發(fā)器的基礎(chǔ)上附加門控管構(gòu)成的。

(2)動態(tài)隨機存儲器(Dynamic

Random

Access

Memory，DRAM)。動態(tài)RAM的存儲矩陣由動態(tài)MOS存儲單元組成。動態(tài)MOS存儲單元利用MOS管的柵極電容來存儲信息，但由于柵極電容的容量很小，而漏電流又不可能絕對等于“0”，所以電荷保存的時間有限。

2.

ROM

ROM(ReadOnlyMemory，只讀存儲器)是一種只能讀出事先所存數(shù)據(jù)的固態(tài)半導(dǎo)體存儲器，數(shù)據(jù)不會因為電源關(guān)閉而消失。其特性是一旦存儲數(shù)據(jù)就無法再改變或刪除，通常應(yīng)用在不需要經(jīng)常變更數(shù)據(jù)的電子系統(tǒng)中。

ROM的種類有ROM、PROM、EPROM、OTPROM、EEPROM和快閃存儲器，以下分別進行介紹。

(1)

ROM。ROM是一種只能讀取數(shù)據(jù)的存儲器。在制造過程中，將數(shù)據(jù)以一種掩模工藝(mask)燒錄于線路中，其數(shù)據(jù)內(nèi)容在寫入后就不能更改，所以又稱為“掩模式只讀內(nèi)存”(maskROM)。此內(nèi)存的制造成本較低，常用于電子產(chǎn)品的開機啟動。

(2)?PROM?？删幊讨蛔x存儲器(ProgrammableReadOnlyMemory，PROM)內(nèi)部有行列式的熔絲，需要利用電流將其燒斷，寫入所需的數(shù)據(jù)，但僅能寫錄一次。

(3)EPROM?？刹脸删幊讨蛔x存儲器(ErasableProgrammableReadOnlyMemory，EPROM)利用高電壓將編程數(shù)據(jù)寫入，需擦除時將線路曝光于紫外線下，數(shù)據(jù)即可被清空，并且可以重復(fù)使用。通常在EPROM的封裝外殼上會預(yù)留一個石英透明窗以方便曝光。

(4)OTPROM。一次編程只讀存儲器(OneTimeProgrammableReadOnlyMemory，OTPROM)的寫入原理同EPROM，但為了節(jié)省成本，編程寫入后不可再擦除，因此不設(shè)置透明窗。

(5)EEPROM。電可擦除可編程只讀存儲器(ElectricallyErasableProgrammableReadOnlyMemory，EEPROM)的運作原理類似EPROM，但擦除的方式是使用高電場，因此不需要透明窗。

(6)快閃存儲器。快閃存儲器(FlashMemory)的每一個單元都具有控制柵極與浮置柵極，利用高電場改變浮置柵極的臨限電壓即可進行編程動作?？扉W存儲器又叫Flash芯片，是移動智能終端中應(yīng)用十分廣泛的存儲材料，可進行快速存儲、擦除數(shù)據(jù)操作，主要用于存儲固件程序或者產(chǎn)品數(shù)據(jù)。

2.4.2

SD存儲卡

SD(SecureDigitalCard)存儲卡是基于半導(dǎo)體快閃記憶器的新一代記憶設(shè)備，具有體積小、數(shù)據(jù)傳輸速度快、可熱插拔等優(yōu)點，廣泛應(yīng)用于數(shù)碼相機、數(shù)碼攝錄機、手機和多媒體播放設(shè)備等便捷式裝置上。SD存儲卡主要由外部引腳、內(nèi)部寄存器、接口控制器、內(nèi)部存儲介質(zhì)等四部分組成。

2.5對外接口

2.5.1藍牙接口

藍牙技術(shù)是一種短距離無線通信技術(shù)，為固定設(shè)備與移動設(shè)備間建立了一種完整的通信方式。藍牙規(guī)范的藍牙協(xié)議棧如表2-1所示。

以手機與手環(huán)進行藍牙通信為例，其流程如圖2-2所示。當(dāng)Phone(手機)需要和Smartband(手環(huán))進行互動時，Phone首先將操作代碼通過write(寫)特性發(fā)送到Smartband的接收接口(Receiveinterface)。Smartband可以解析操作代碼，然后執(zhí)行相應(yīng)的操作。最后，通過Smartband的notify特性返回一個值到Phone，并通知Phone操作是否已經(jīng)被成功執(zhí)行。圖2-2手機與手環(huán)藍牙通信流程圖

1.?ApplicationLayer(應(yīng)用層，L2)

L2為應(yīng)用層，定義了串行點到點鏈路如何傳輸因特網(wǎng)協(xié)議數(shù)據(jù)、因特網(wǎng)設(shè)備和藍牙如何進行通信、設(shè)備間如何進行數(shù)據(jù)交換等。L2數(shù)據(jù)包結(jié)構(gòu)如表2-2所示，L2數(shù)據(jù)包頭部結(jié)構(gòu)如表2-3所示，L2數(shù)據(jù)負載結(jié)構(gòu)如表2-4所示，其中，L2header為L2數(shù)據(jù)包頭部，L2payload為L2數(shù)據(jù)包有效載荷。L2header中的Commandid對應(yīng)著藍牙設(shè)備的相應(yīng)命令。

2.?TransportLayer(傳輸層，L1)

L1為傳輸層，在L0之上，實現(xiàn)了可靠的數(shù)據(jù)傳輸，包括數(shù)據(jù)的發(fā)送和接收。L1為滿足L2大數(shù)據(jù)包的發(fā)送需求，可實現(xiàn)拆包、組包等邏輯。L1為實現(xiàn)可靠的傳輸，可實現(xiàn)L0的MTU重傳，重傳固定次數(shù)失敗之后，L1會將失敗結(jié)果報告給上層。L1數(shù)據(jù)包結(jié)構(gòu)如表2-5所示，L1數(shù)據(jù)包頭部結(jié)構(gòu)如表2-6所示。

3.?UARTProfile(UART層，L0)和BLEStack(低功耗藍牙的協(xié)議棧)

L0和BLEStack屬于藍牙設(shè)備的底層硬件模塊，主要提供物理鏈路及兩個或多個設(shè)備鏈路的建立、拆除以及鏈路的安全和控制，并為上層軟件模塊提供訪問入口等。

4.常用指令

前面提到，L2header中的Commandid對應(yīng)著藍牙設(shè)備的相應(yīng)指令。比較常用的Commandid如表2-7所示。

2.5.2WiFi接口

WiFi接口又稱WiFi模塊，是將串口或TTL電平信號轉(zhuǎn)換為符合WiFi無線網(wǎng)絡(luò)通信標(biāo)準(zhǔn)的嵌入式模塊，內(nèi)置有無線網(wǎng)絡(luò)協(xié)議IEEE802.11b/g/n協(xié)議棧以及TCP/IP協(xié)議棧。傳統(tǒng)的硬件設(shè)備通過嵌入WiFi模塊，可以直接通過WiFi聯(lián)入互聯(lián)網(wǎng)，實現(xiàn)無線智能家居、M2M等物聯(lián)網(wǎng)應(yīng)用。WiFi模塊可分為通用WiFi模塊、路由器方案WiFi模塊和嵌入式WiFi模塊。

(1)通用WiFi模塊：比如手機、筆記本電腦、平板電腦上的USB接口模塊。由于WiFi協(xié)議棧和驅(qū)動是運行在安卓、Windows、iOS系統(tǒng)中的，因此需要非常強大的CPU來完成應(yīng)用。

(2)路由器方案WiFi模塊：比如家用路由器。WiFi協(xié)議和驅(qū)動需要借助擁有強大Flash和RAM資源的芯片和Linux操作系統(tǒng)來運行。

(3)嵌入式WiFi模塊：包括內(nèi)置WiFi驅(qū)動和協(xié)議，適合于各類智能家居或智能硬件產(chǎn)品。

2.6面臨的安全威脅

2.6.1固件篡改威脅篡改固件首先要獲取固件。獲取的方式有兩種：第一種是使用編程器通過Flash芯片把固件讀取成二進制文件；第二種是從網(wǎng)上下載固件的bin文件，然后通過固件分析軟件對所獲固件進行分析。最后對固件進行調(diào)試和篡改。其具體步驟如下：

(1)定位固件的存放位置。

固件通常存放在Flash芯片中，常見的Flash芯片為25芯片，又叫作8腳BIOS芯片，目前被廣泛應(yīng)用于主板、筆記本電腦等產(chǎn)品中，用于存儲固件程序或產(chǎn)品數(shù)據(jù)，可對該芯片進行讀取或擦寫等操作。25芯片最常見的8腳封裝如圖2-3所示。圖2-325芯片

(2)從Flash芯片中獲取固件。

要從Flash芯片中獲取固件，首先需要辨別Flash芯片，可使用吹焊機拆卸芯片，最后使用編程器獲取二進制數(shù)據(jù)。

①辨別Flash芯片。使用目測法即可辨別Flash芯片。具體方法為使用放大鏡，通過觀察芯片表面型號、電路板標(biāo)識以及針腳來辨別Flash芯片。

②使用吹焊機拆卸芯片。在使用吹焊機和鑷子拆卸芯片時，應(yīng)注意將吹焊機的溫度調(diào)節(jié)為400℃左右，且盡量對準(zhǔn)焊接處，避免損壞電路板，以便讀取完固件后還可將芯片焊回原處。

③使用編程器獲取二進制數(shù)據(jù)。將Flash芯片放入編程器中，把編程器USB口插入計算機，使用CH341A編程器軟件和設(shè)備即可識別固件型號并讀取固件。

(3)分析固件。

Binwalk是固件分析工具，可協(xié)助研究人員對固件進行分析、提取和逆向分析，并支持自定義簽名，也可以使用插件功能編寫特定插件識別特定固件。

(4)調(diào)試固件。

分析固件文件時需要了解文件結(jié)構(gòu)、編程語言指令集、運行系統(tǒng)和文件壓縮格式等信息。在探明系統(tǒng)平臺和固件指令架構(gòu)的基礎(chǔ)上，可使用逆向工具IDA來具體分析固件代碼。固件導(dǎo)入IDA的步驟如下：

①識別處理器類型，結(jié)合指令集編寫解析模塊插件。

②結(jié)合處理器修復(fù)代碼中的函數(shù)位置。

③確定固件代碼段基址。

④重構(gòu)符號表。重構(gòu)符號表之后可以發(fā)現(xiàn)函數(shù)已被重新命名，以便于在IDA中分析代碼。

2.6.2來自藍牙的安全威脅

藍牙的安全威脅一般是指對藍牙系統(tǒng)的攻擊。對藍牙系統(tǒng)的攻擊包含藍牙模式下的掃描和偵測、藍牙偵聽以及最后的攻擊和使用藍牙。

1.低功耗藍牙模式下的掃描和偵測

低功耗藍牙即目前的藍牙4.0版本，具有省電、成本低、3毫秒低延遲、超長有效連接距離、AES-128加密等特點，目前廣泛應(yīng)用在藍牙耳機、藍牙音箱等設(shè)備上。

(1)?Android系統(tǒng)下的設(shè)備發(fā)現(xiàn)。Android版BlueScan軟件可以使用“低功耗藍牙”的接口，實現(xiàn)掃描和識別設(shè)備基本信息的功能，并將掃描結(jié)果記錄到本地的數(shù)據(jù)庫文件中。

(2)?iOS系統(tǒng)下的設(shè)備發(fā)現(xiàn)?；趇OS系統(tǒng)的低功耗藍牙掃描器可以掃描“可發(fā)現(xiàn)模式”下的低功耗藍牙設(shè)備，并讀取通用屬性協(xié)議服務(wù)中的設(shè)備名稱、接收信號強度和通用唯一標(biāo)識符信息等。

(3)?Linux系統(tǒng)下的設(shè)備發(fā)現(xiàn)和枚舉。使用Linux操作系統(tǒng)中的BlueZ工具包，通過枚舉可以得到低功耗藍牙設(shè)備上可用的服務(wù)列表。

2.藍牙偵聽

對于低功耗藍牙設(shè)備，可以通過ubertooth-btle工具，結(jié)合“SmartRF數(shù)據(jù)包嗅探器”，識別網(wǎng)絡(luò)連接的建立過程，并利用收集到的信息，實現(xiàn)與發(fā)射方和接收方同步信道跳頻，最后使用藍牙偵聽手段攻擊藍牙網(wǎng)絡(luò)。藍牙偵聽的具體過程如下：