移动智能终端安全课件：移动智能终端硬件体系结构及面临的安全威胁

移动智能终端硬件体系结构及面临的安全威胁2.1硬件体系结构概述2.2MCU2.3传感器2.4存储设备2.5对外接口2.6面临的安全威胁小结

2.1硬件体系结构概述

移动智能终端硬件体系结构如图2-1所示。图2-1移动智能终端硬件体系结构图

以中央处理器(CPU)内核为核心，移动智能终端硬件系统可分为三个层次：内核、SoC设备和板级设备。

(1)CPU和内部总线构成移动智能终端硬件系统的内核，提供核心的运算和控制功能。目前智能终端使用的CPU内核以ARM居多，主要有ARM9、ARM11等架构。

(2)

SoC设备与内核集成在同一芯片上，通过内部总线与CPU内核互连，SoC设备一般包含存储控制器(如Flash控制器)、蓝牙设备、WiFi控制器等。

(3)板级设备通过SoC设备与CPU连接，板级设备通常是一些功能独立的处理单元，如Flash芯片、蓝牙接口、WiFi网卡等。

2.2MCU

1.概述

MCU(MicroControllerUnit，微控制单元/单片机)是将中央处理器(CPU)的频率和规格做适当缩减，并将内存、计数器、USB、A/D转换器、UART、PLC、DMA等接口整合在单一芯片上所形成的芯片级计算机。MCU可以为不同应用场合做不同的组合控制。MCU的特点主要有：

(1)高集成度，体积小，可靠性高。MCU将各功能部件集成在一块晶体芯片上，集成度高，体积很小；MCU将程序指令等固化在ROM(只读存储器)中以达到不易被破坏的特点，从而可靠性很高。

(2)控制性能强。MCU具有非常丰富的指令系统，适用于专门的控制功能。

(3)低电压，低功耗，便于生产便捷式产品。MCU的工作电压仅为1.8～3.6

V，工作电流仅为几百微安。

(4)易扩展。MCU外部有供扩展用的三根总线和管脚，容易组成各种规模的计算机应用系统。

(5)优异的性能价格比。MCU性能优越，销量大，价格低，性价比极高。

2.

ARM

ARM芯片是MCU的一种。ARM芯片具有功耗低、成本低的特点，特别适用于移动设备。ARM目前主要授权ARM9、ARM11和Cortex三个系列的芯片设计。

ARM9：采用冯·诺依曼体系结构和三级流水线，提供0.9

MIPS(在工作频率为1

MHz情况下)的指令执行速度。

ARM11：采用哈佛体系结构，指令和数据分属不同的总线，可以并行处理，采用五级流水线。

Cortex：目前ARM公司最新的指令集结构，表示的是ARM11之后的一系列处理器。

3.

MCU的主要分类

1)按用途分类

通用型：将可开发的资源(ROM、RAM、I/O、EPROM)等全部提供给用户。

专用型：硬件及指令按照某种特定用途来设计。例如录音机机芯控制器、打印机控制器、电机控制器等。

2)按处理的数据位数分类

根据总线或数据暂存器的宽度，MCU又分为1位、4位、8位、16位、32位甚至64位等不同类别。

3)按存储器结构分类

MCU根据存储器结构可分为哈佛结构和冯·诺依曼结构。目前的MCU绝大多数基于冯·诺依曼结构，这种结构定义了嵌入式系统所必需的基本部分：一个中央处理器核心、程序存储器(只读存储器或者闪存)、数据存储器(随机存储器)、一个或多个定时/计时器，还有与外围设备及扩展资源通信的输入/输出端口，这些都被集成在单个集成电路芯片上。

2.3传感器

1.传感器的分类

(1)传感器按照输出信号可分为模拟式传感器和数字式传感器。①模拟式传感器：输出信号为模拟量的传感器。②数字式传感器：输出信号为数字量或数字编码的传感器。

(2)传感器按照作用形式可分为主动型和被动型传感器。

主动型传感器分为作用型传感器和反作用型传感器。主动型传感器向被测对象发出一定的探测信号，检测探测信号在被测对象中所产生的变化，或者由探测信号在被测对象中产生某种效应而形成信号。检测探测信号变化方式的传感器称为作用型传感器，检测产生响应而形成信号方式的传感器称为反作用型传感器。雷达与无线电频率范围探测器是作用型传感器实例，而光声效应分析装置与激光分析器是反作用型传感器实例。

(3)传感器按照其构成可分为基本型传感器、组合型传感器和应用型传感器。

基本型传感器是最基本的单个变换装置。组合型传感器是由不同的单个变换装置组合构成的传感器。应用型传感器是基本型传感器或组合型传感器与其他机构组合而构成的传感器。

2.传感器的应用

移动智能终端设备中传感器的应用十分广泛，具体表现为以下几个方面：

(1)方向传感器：可返回角度数据，主要应用于移动智能终端的运动数据、路线规划等。

(2)光线感应传感器：可检测实时的光线强度，相应地调整移动智能终端的屏幕亮度。

(3)接近传感器：可检测物体与手机的距离，应用于接听电话时自动关闭屏幕以节省电量。

(4)陀螺仪传感器：可检测转动、偏转等动作，还可用于导航等。

2.4存储设备

2.4.1内部存储器手机内存包括ROM(作为机身内存)、RAM(作为运行内存)和内存卡。手机的RAM相当于计算机的内存，ROM和内存卡相当于计算机的硬盘。

1.

RAM

RAM(Random

Access

Memory，随机存取存储器)是与CPU直接交换数据的内部存储器，可以随时读写且速度很快。RAM一般作为操作系统或其他正在运行的程序的临时数据存储媒介。RAM具有易失性、随机存取、访问速度快、对静电敏感、可再生等特点。

(1)易失性。当电源关闭时，RAM不能保存数据。

(2)随机存取。当存储器中的数据被读取或写入时，所需时间与数据所在的位置或写入位置无关。

(3)访问速度快。RAM几乎是所有访问设备中写入和读取速度最快的，其存取延迟与其他存储设备相比，显得微不足道。

(4)对静电敏感。RAM对环境的静电荷非常敏感。静电会干扰存储器内电容器的电荷，导致数据流失，甚至烧坏电路。因此，触碰RAM前，应先消除所带静电。

(5)可再生(需要刷新)。现代的RAM依赖电容器存储数据，电容器充满电代表“1”(二进制)，未充电代表“0”(二进制)。由于电容器存在漏电的情况，如果不做特别处理，数据会渐渐流失。刷新操作是指定期读取电容器的状态，并按照原状态重新为电容器充电，弥补流失的电荷。需要刷新的特点也解释了RAM的易失性。

根据存储单元的工作原理，RAM可分为静态随机存储器和动态随机存储器。

(1)静态随机存储器(Static

Random

Access

Memory，SRAM)。静态存储单元是在静态触发器的基础上附加门控管构成的。

(2)动态随机存储器(Dynamic

Random

Access

Memory，DRAM)。动态RAM的存储矩阵由动态MOS存储单元组成。动态MOS存储单元利用MOS管的栅极电容来存储信息，但由于栅极电容的容量很小，而漏电流又不可能绝对等于“0”，所以电荷保存的时间有限。

2.

ROM

ROM(ReadOnlyMemory，只读存储器)是一种只能读出事先所存数据的固态半导体存储器，数据不会因为电源关闭而消失。其特性是一旦存储数据就无法再改变或删除，通常应用在不需要经常变更数据的电子系统中。

ROM的种类有ROM、PROM、EPROM、OTPROM、EEPROM和快闪存储器，以下分别进行介绍。

(1)

ROM。ROM是一种只能读取数据的存储器。在制造过程中，将数据以一种掩模工艺(mask)烧录于线路中，其数据内容在写入后就不能更改，所以又称为“掩模式只读内存”(maskROM)。此内存的制造成本较低，常用于电子产品的开机启动。

(2) PROM。可编程只读存储器(ProgrammableReadOnlyMemory，PROM)内部有行列式的熔丝，需要利用电流将其烧断，写入所需的数据，但仅能写录一次。

(3)EPROM。可擦除可编程只读存储器(ErasableProgrammableReadOnlyMemory，EPROM)利用高电压将编程数据写入，需擦除时将线路曝光于紫外线下，数据即可被清空，并且可以重复使用。通常在EPROM的封装外壳上会预留一个石英透明窗以方便曝光。

(4)OTPROM。一次编程只读存储器(OneTimeProgrammableReadOnlyMemory，OTPROM)的写入原理同EPROM，但为了节省成本，编程写入后不可再擦除，因此不设置透明窗。

(5)EEPROM。电可擦除可编程只读存储器(ElectricallyErasableProgrammableReadOnlyMemory，EEPROM)的运作原理类似EPROM，但擦除的方式是使用高电场，因此不需要透明窗。

(6)快闪存储器。快闪存储器(FlashMemory)的每一个单元都具有控制栅极与浮置栅极，利用高电场改变浮置栅极的临限电压即可进行编程动作。快闪存储器又叫Flash芯片，是移动智能终端中应用十分广泛的存储材料，可进行快速存储、擦除数据操作，主要用于存储固件程序或者产品数据。

2.4.2

SD存储卡

SD(SecureDigitalCard)存储卡是基于半导体快闪记忆器的新一代记忆设备，具有体积小、数据传输速度快、可热插拔等优点，广泛应用于数码相机、数码摄录机、手机和多媒体播放设备等便捷式装置上。SD存储卡主要由外部引脚、内部寄存器、接口控制器、内部存储介质等四部分组成。

2.5对外接口

2.5.1蓝牙接口

蓝牙技术是一种短距离无线通信技术，为固定设备与移动设备间建立了一种完整的通信方式。蓝牙规范的蓝牙协议栈如表2-1所示。

以手机与手环进行蓝牙通信为例，其流程如图2-2所示。当Phone(手机)需要和Smartband(手环)进行互动时，Phone首先将操作代码通过write(写)特性发送到Smartband的接收接口(Receiveinterface)。Smartband可以解析操作代码，然后执行相应的操作。最后，通过Smartband的notify特性返回一个值到Phone，并通知Phone操作是否已经被成功执行。图2-2手机与手环蓝牙通信流程图

1. ApplicationLayer(应用层，L2)

L2为应用层，定义了串行点到点链路如何传输因特网协议数据、因特网设备和蓝牙如何进行通信、设备间如何进行数据交换等。L2数据包结构如表2-2所示，L2数据包头部结构如表2-3所示，L2数据负载结构如表2-4所示，其中，L2header为L2数据包头部，L2payload为L2数据包有效载荷。L2header中的Commandid对应着蓝牙设备的相应命令。

2. TransportLayer(传输层，L1)

L1为传输层，在L0之上，实现了可靠的数据传输，包括数据的发送和接收。L1为满足L2大数据包的发送需求，可实现拆包、组包等逻辑。L1为实现可靠的传输，可实现L0的MTU重传，重传固定次数失败之后，L1会将失败结果报告给上层。L1数据包结构如表2-5所示，L1数据包头部结构如表2-6所示。

3. UARTProfile(UART层，L0)和BLEStack(低功耗蓝牙的协议栈)

L0和BLEStack属于蓝牙设备的底层硬件模块，主要提供物理链路及两个或多个设备链路的建立、拆除以及链路的安全和控制，并为上层软件模块提供访问入口等。

4.常用指令

前面提到，L2header中的Commandid对应着蓝牙设备的相应指令。比较常用的Commandid如表2-7所示。

2.5.2WiFi接口

WiFi接口又称WiFi模块，是将串口或TTL电平信号转换为符合WiFi无线网络通信标准的嵌入式模块，内置有无线网络协议IEEE802.11b/g/n协议栈以及TCP/IP协议栈。传统的硬件设备通过嵌入WiFi模块，可以直接通过WiFi联入互联网，实现无线智能家居、M2M等物联网应用。WiFi模块可分为通用WiFi模块、路由器方案WiFi模块和嵌入式WiFi模块。

(1)通用WiFi模块：比如手机、笔记本电脑、平板电脑上的USB接口模块。由于WiFi协议栈和驱动是运行在安卓、Windows、iOS系统中的，因此需要非常强大的CPU来完成应用。

(2)路由器方案WiFi模块：比如家用路由器。WiFi协议和驱动需要借助拥有强大Flash和RAM资源的芯片和Linux操作系统来运行。

(3)嵌入式WiFi模块：包括内置WiFi驱动和协议，适合于各类智能家居或智能硬件产品。

2.6面临的安全威胁

2.6.1固件篡改威胁篡改固件首先要获取固件。获取的方式有两种：第一种是使用编程器通过Flash芯片把固件读取成二进制文件；第二种是从网上下载固件的bin文件，然后通过固件分析软件对所获固件进行分析。最后对固件进行调试和篡改。其具体步骤如下：

(1)定位固件的存放位置。

固件通常存放在Flash芯片中，常见的Flash芯片为25芯片，又叫作8脚BIOS芯片，目前被广泛应用于主板、笔记本电脑等产品中，用于存储固件程序或产品数据，可对该芯片进行读取或擦写等操作。25芯片最常见的8脚封装如图2-3所示。图2-325芯片

(2)从Flash芯片中获取固件。

要从Flash芯片中获取固件，首先需要辨别Flash芯片，可使用吹焊机拆卸芯片，最后使用编程器获取二进制数据。

①辨别Flash芯片。使用目测法即可辨别Flash芯片。具体方法为使用放大镜，通过观察芯片表面型号、电路板标识以及针脚来辨别Flash芯片。

②使用吹焊机拆卸芯片。在使用吹焊机和镊子拆卸芯片时，应注意将吹焊机的温度调节为400℃左右，且尽量对准焊接处，避免损坏电路板，以便读取完固件后还可将芯片焊回原处。

③使用编程器获取二进制数据。将Flash芯片放入编程器中，把编程器USB口插入计算机，使用CH341A编程器软件和设备即可识别固件型号并读取固件。

(3)分析固件。

Binwalk是固件分析工具，可协助研究人员对固件进行分析、提取和逆向分析，并支持自定义签名，也可以使用插件功能编写特定插件识别特定固件。

(4)调试固件。

分析固件文件时需要了解文件结构、编程语言指令集、运行系统和文件压缩格式等信息。在探明系统平台和固件指令架构的基础上，可使用逆向工具IDA来具体分析固件代码。固件导入IDA的步骤如下：

①识别处理器类型，结合指令集编写解析模块插件。

②结合处理器修复代码中的函数位置。

③确定固件代码段基址。

④重构符号表。重构符号表之后可以发现函数已被重新命名，以便于在IDA中分析代码。

2.6.2来自蓝牙的安全威胁

蓝牙的安全威胁一般是指对蓝牙系统的攻击。对蓝牙系统的攻击包含蓝牙模式下的扫描和侦测、蓝牙侦听以及最后的攻击和使用蓝牙。

1.低功耗蓝牙模式下的扫描和侦测

低功耗蓝牙即目前的蓝牙4.0版本，具有省电、成本低、3毫秒低延迟、超长有效连接距离、AES-128加密等特点，目前广泛应用在蓝牙耳机、蓝牙音箱等设备上。

(1) Android系统下的设备发现。Android版BlueScan软件可以使用“低功耗蓝牙”的接口，实现扫描和识别设备基本信息的功能，并将扫描结果记录到本地的数据库文件中。

(2) iOS系统下的设备发现。基于iOS系统的低功耗蓝牙扫描器可以扫描“可发现模式”下的低功耗蓝牙设备，并读取通用属性协议服务中的设备名称、接收信号强度和通用唯一标识符信息等。

(3) Linux系统下的设备发现和枚举。使用Linux操作系统中的BlueZ工具包，通过枚举可以得到低功耗蓝牙设备上可用的服务列表。

2.蓝牙侦听

对于低功耗蓝牙设备，可以通过ubertooth-btle工具，结合“SmartRF数据包嗅探器”，识别网络连接的建立过程，并利用收集到的信息，实现与发射方和接收方同步信道跳频，最后使用蓝牙侦听手段攻击蓝牙网络。蓝牙侦听的具体过程如下：