YD_T 3782-2020 移动通信智能终端漏洞验证方法.docx

ICS 35.220 L64 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T 3782—2020 移动通信智能终端漏洞验证方法 The validation method on mobile device vulnerability 2020-12-09发布 2021-01-01 实施 中华人民共和国工业和信息化部 发布 I YD/T 3782—2020 目 次 前言 Ⅱ 1 范围 1 2 规范性引用文件 1 3 术语、定义和缩略语 1 3.1 术语和定义 1 3.2 缩略语 2 4 概述 2 5 系统漏洞验证方法 2 5.1 开机自启动程序 2 5.2 开机密码保护 3 5.3 拨打电话 3 5.4 发送短信 3 5.5 发送彩信 4 5.6 发送邮件 4 5.7 移动通信网络数据连接 4 5.8 移动通信网络数据连接状态 5 5.9 定位功能 5 5.10 通话录音 5 5.11 拍照/摄像 6 5.12 用户数据的加密存储 6 5.13 用户数据的本地备份 6 5.14 浏览器控件任意命令执行 7 6 外围接口漏洞验证方法 7 6.1 无线外围接口 7 6.2 有线外围接口 10 参考文献 11 Ⅱ YD/T 3782—2020 前 言 本标准按照 GB/T1.1—2009 给出的规则编写。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位：北京交通大学、中国科学院大学、华为技术有限公司、西安电子科技大学、北京 邮电大学。 本标准主要起草人：吴昊、张玉清、刘海涛、沈玉龙、裴庆祺、王枞、何能强、强倩。 YD/T 3782—2020 移动通信智能终端漏洞验证方法 1 范围 本标准规定了移动通信智能终端处理安全漏洞(本标准中主要研究受控漏洞，其他种类漏洞暂不涉 及)的验证方法，包括验证项目、验证内容、验证准备、验证步骤以及预期结果。 本标准适用于移动通信智能终端设备。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其必威体育精装版版本(包括所有的修改单)适用于本文件。 GB/T 28458—2012 信息安全技术安全漏洞标识与描述规范 YD/T 2407—2013 移动智能终端安全能力技术要求 YD/T 2408—2013 移动智能终端安全能力测试方法 YD/T1760—2012 数字移动终端外围接口数据交换技术要求 3 术语、定义和缩略语 3.1 术语和定义 下列术语和定义适用于本文件。 3.1.1 移动通信智能终端 smart mobile terminal 能够接入移动通信网，具有能够提供应用程序开发接口的开放操作系统，并能够安装和运行第三方 应用软件的移动终端。 3.1.2 移动通信智能终端操作系统 operating system of smart mobile terminal 移动通信智能终端最基本的系统软件，它控制和管理移动通信智能终端各种硬件和软件资源，并提 供应用程序开发的接口。 3.1.3 外围接口 peripheral interface 2 YD/T 3782—2020 移动通信终端除空中接口外，其他可以用于数据传输的接口，如数据线、红外、蓝牙等，其在终端 上的物理实体可以表现为硬件接口或芯片。 3.1.4 安全漏洞 security vulnerability 计算机信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的缺陷，这些缺陷以 不同形式存在于计算机信息系统的各个层次和环节之中， 一旦被恶意主体所利用，就会对计算机信息系 统的安全造成损坏，从而影响计算机信息系统的正常运行。 3.2 缩略语 下列缩略语适用于本文件。 SMT 移动智能终端 Smart Mobile Termina Wi-Fi 基于IEEE 802.11b 标准的无线局域网 Wireless Fidelity NFC 近距离无线通信技术 Near Field Communication 4 概述 移动通信智能终端漏洞通常验证方法为： a) 审核漏洞报告，确认目标软件版本、验证所需环境和验证代码； b) 搭建验证环境，部署对应版本的目标软件(通常还需要部署并测试较低版本的软件); c) 部署监控环境和监控日志； d) 按照漏洞报