Android cung cấp một tập hợp trừu tượng hóa cho các nhà phát triển gồm giao diện người dùng, vòng đời ứng dụng, các ứng dụng khác nhau, các cơ thế IPC hiệu quả và phân quyền. Kèm với đó là các công cụ phát triển và trình gỡ lỗi tích hợp với công cụ phát triển Android. Tất cả điều này được cung cấp đầu tiên trên mô hình bảo mật Linux truyền thống vẫn còn được sử dụng cho đến hiện giờ. Android là nền tảng mã nguồn “mở” bởi vì các nhà phát triển có thể thấy và thay đổi mã nguồn của nó mà không cần có giấy phép hoặc cấp phép hoặc hạn chế nào cả. Android là mã nguồn “mở” với cơ chế thiết kế để bảo vệ và có thể chạy các ứng dụng của bên thứ ba nào đó. Bên cạnh đó, mã nguồn “mở” cũng là cách để mọi người chung tay, đóng góp với mã nguồn để có những sáng tạo mới hơn cho nền tảng này.
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ BÁO CÁO BÀI TẬP LỚN TÌM HIỂU VỀ ANDROID SECURITY Mơn: An tồn Bảo mật ứng dụng di động Nhóm sinh viên thực hiện: Nguyễn Quang Đức Nguyễn Đăng Nam Nguyễn Tuấn Anh Lớp: CT2C Hà Nội, 2021 BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ BÁO CÁO BÀI TẬP LỚN TÌM HIỂU VỀ ANDROID SECURITY Mơn: An tồn Bảo mật ứng dụng di động Nhóm sinh viên thực hiện: Nguyễn Quang Đức Nguyễn Đăng Nam Nguyễn Tuấn Anh Lớp: CT2C Giảng viên hướng dẫn: ThS Thái Thị Thanh Vân Khoa Công nghệ thông tin – Học viện Kỹ thuật mật mã Hà Nội, 2021 MỤC LỤC Danh mục kí hiệu viết tắt ii Danh mục hình vẽ iii Lời cảm ơn iv Lời nói đầu v Chương TỔNG QUAN VỀ ĐỀ TÀI 1.1 Khái niệm Android 1.2 Bảo mật Android 1.3 Android mã nguồn mở tương lai 1.4 Kết luận chương Chương ANDROID SECURITY 2.1 Phát triển gỡ lỗi Android 2.1.1 Phát triển 2.1.2 Gỡ lỗi 2.2 Cơ chế bảo mật IPC 2.2.1 Activities 2.2.2 Services 2.2.3 Broadcasts 2.2.4 ContentProviders 2.2.5 Binder 2.3 Mơ hình bảo mật Android 2.4 Quyền hạn Android 2.5 Intent Android 10 2.6 Activity Android 12 2.7 Broadcast Android 15 2.8 Service Android 16 2.9 ContentProvider Android 17 2.10.Phòng chống SQL injection Android 19 2.11.Tập tin, tham chiếu lưu trữ liệu Android 19 2.12.Binder Android 20 2.13.Kết luận chương 22 Chương ANDROID SECURITY TOOLS 23 3.1 Khái quát vấn đề 23 3.2 Package viewer 23 3.3 Dexplorer 26 3.4 Kết luận chương 27 Kết luận 28 Tài liệu tham khảo 29 i DANH MỤC KÍ HIỆU VÀ VIẾT TẮT ADB Android debug bridge IPC Inter process communicator SQL Structure query language OS Operating System ii DANH MỤC HÌNH VẼ Hình 2.1.Android debug bridge client use Hình 2.2.Ứng dụng yêu cầu Permision Hình 2.3.Intent Android 11 Hình 2.4.Trạng thái Android 13 Hình 2.5.Vịng đời Activity 13 Hình 2.6.Truy xuất tới ContentProvider 18 Hình 3.1.Package viewer 23 Hình 3.2.Thơng tin chi tiết sổ sức khỏe điện tử 25 Hình 3.3.Dexplorer 26 Hình 3.4.Dexplorer sổ sức khỏe điện tử 27 iii LỜI CẢM ƠN Trong trình thực báo cáo tập mơn học An tồn bảo mật ứng dụng di động, nhóm chúng em nhận giúp đỡ tận tình, quan tâm sâu sát kiến thức mà xuyên suốt môn học giáo viên hướng dẫn ThS Thái Thị Thanh Vân – Giảng viên Khoa Công nghệ thông tin Học viện Kỹ thuật mật mã truyền tải đến với chúng em, tạo tiền đề giúp nhóm chúng em hồn thành báo cáo Một lần nhóm chúng em xin cảm ơn cô tạo điều kiện tốt để nhóm chúng em hồn thành báo cáo tập mơn học này! NHĨM SINH VIÊN THỰC HIỆN BÁO CÁO iv LỜI NĨI ĐẦU Cuốn theo dịng chảy xã hội phát triển mạnh mẽ lĩnh vực công nghệ thông tin qua thập kỷ gần Công nghệ thông tin ứng dụng cơng nghệ thơng tin len lỏi vào ngóc ngách sống tại, nhu cầu sống ngày người tăng lên yêu cầu trở lên khắt khe Con người ngày phát triển kéo theo nhu cầu tiếp cận kiến thức xu hướng người Nhu cầu đó, ngày khiến cho người ta hài lòng việc tiếp cận tới tri thức nơi, nguồn qua thiết bị cầm tay vỏn vẹn vừa túi bạn Và tất nhiên thiết bị kết nối Internet, điện thoại di động Song song với việc xây dựng phát triển ngành ứng dụng CNTT, việc an toàn bảo mật ứng dụng liệu phần cần trú trọng đến Việc thiết bị di động ln ln đem bên người nơi lưu trữ nhiều thơng tin nhạy cảm cá nhận nên việc an toàn bảo mật cho điều khơng thể thiếu Vận dụng kiến thức truyền đạt, hướng dẫn giảng viên Thái Thị Thanh Vân q trình học mơn học này, nhóm em có tìm hiểu đề tài An toàn Bảo mật Android (Android Security) Trong báo cáo này, nhóm em có tìm hiểu trình bày số kiến thức: Sự hoạt động ứng dụng Android Cơ chế bảo mật ứng dụng Android Một số công cụ đánh giá theo dõi hoạt động ứng dụng tảng Android Chúng em mong nhận góp ý giáo viên bạn để hoàn thiện tài liệu đề tài NHÓM SINH VIÊN THỰC HIỆN BÁO CÁO v CHƯƠNG TỔNG QUAN VỀ ĐỀ TÀI 1.1 Khái niệm Android Android tảng di động tạo Google Hiện hội di động Open Handset Alliance Android hệ điều hành nguồn mở dựa tảng Linux, chủ yếu dành cho thiết bị có hình cảm ứng điện thoại, máy tính bảng Với mã nguồn mở giấy phép khơng có nhiều ràng buộc nên Android ngày trở thành tảng điện thoại thông minh phổ biến giới Vào quý năm 2012, Android chiếm 75% thị phần điện thoại thông minh toàn giới với số tổng cộng khoảng 500 triệu thiết bị kích hoạt 1,3 triệu lượt kích hoạt ngày Ưu điểm: + Là hệ điều hành mã nguồn mở, có khả tùy biến cao, tự chỉnh sửa mà khơng bị Google can thiệp hay cấm đốn + Sản phẩm đa dạng, nhiều hãng điện thoại thiết bị công nghệ ưa chuộng Android cho thiết bị mình, giá hợp lý, từ bình dân đến cao cấp + Kho ứng dụng Google Play Store khổng lồ + Thân thiện dễ sử dụng + Khả đa nhiệm cao, chạy nhiều ứng dụng lúc Nhược điểm: + Dễ bị phần mềm độc hại vi rút Do tính chất mã nguồn mở nên cịn nhiều phần mềm khơng kiểm sốt, chất lượng lỗ hổng bảo mật sử dụng + Quá nhiều cửa hàng ứng dụng gây vấn đề kiểm soát chất lượng, thiếu ứng dụng thực tốt + Phân mảnh lớn Trong số thiết bị Android tuyệt vời Galaxy S5, Galaxy Note 4, Xperia Z3 phát hành, có nhiều sản phẩm thơng thường rẻ tiền khác thị trường + Cập nhật không tự động cho tất thiết bị Khi phiên hệ điều hành mắt, sản phẩm cập nhật, dù muốn trải nghiệm bạn thường phải mua thiết bị 1.2 Bảo mật Android Android cung cấp tập hợp trừu tượng hóa cho nhà phát triển gồm giao diện người dùng, vòng đời ứng dụng, ứng dụng khác nhau, IPC hiệu phân quyền Kèm với cơng cụ phát triển trình gỡ lỗi tích hợp với cơng cụ phát triển Android Tất điều cung cấp mô hình bảo mật Linux truyền thống cịn sử dụng Android tảng mã nguồn “mở” nhà phát triển thấy thay đổi mã nguồn mà khơng cần có giấy phép cấp phép hạn chế Android mã nguồn “mở” với chế thiết kế để bảo vệ chạy ứng dụng bên thứ ba Bên cạnh đó, mã nguồn “mở” cách để người chung tay, đóng góp với mã nguồn để có sáng tạo cho tảng Các ứng dụng Android coi tương đương, ngang hàng chạy thực thiết bị Điều có nghĩa rằng, Android cấp phép cho ứng dụng hoạt động với quyền hạn mà ứng dụng muốn trình hoạt động cài đặt thiết bị Việc vận dụng vào trình phát triển ứng dụng tảng Android nhà phát triển để yêu cầu thiết bị chạy Android cung cấp quyền hạn định cho ứng dụng chạy cài đặt Các phân phối Android thiết bị di động cấu hình để người sở hữu khơng có quyền root cao hệ thống, qua khơng thể thay đổi khía cạnh định hệ thống thiết bị Điều thể đặc trưng đặc quyền định hãng sản xuất Tuy nhiên, với thiết bị di động nào, có kỹ thuật khác với quyền truy cập vật lý vào thiết bị “sửa, đổi” tác động vào cấu hình, hệ thống thiết bị chạy Android Thật vậy, lỗi bảo mật Android tảng mã nguồn “mở”, bên cạnh có nhiều cách khác để tác động vào nạp khởi động, firmware, nhớ, cấu hình bus,… phần cứng phần mềm thiết bị Android Do đó, thiết bị mã nguồn mở thường khơng chắn tối đa tính bảo mật tảng khác khơng có tính “mở” iPhone, Windows Phone 2.7 Broadcast Android Broadcast hình thức quan trọng giao tiếp không đồng hai tiến trình Android Broadcast gửi dạng Intent, hệ thống xử lý gửi chúng kèm với receivers thực thi permission BroadcastReceiver component cho phép hệ thống ứng dụng khác phân phối kiện đến ứng dụng như: Gửi tin nhắn pin yếu hình tắt tin nhắn đến ứng dụng Các ứng dụng bắt đầu khởi tạo tín hiệu broadcast ứng dụng khác biết liệu cần thiết có sẵn thiết bị để sử dụng Chúng ta sử dụng Intent gửi kiện broadcast cho ứng dụng khác BroadcastReceivers sử dụng thông báo trạng thái phép người dùng biết kiện xảy Trong Android, BroadcastReceiver kế thừa lớp BroadcastReceiver tín hiệu (broadcast) truyền dạng đối tượng Intent Chúng ta đăng ký ứng dụng để nhận vài tin nhắn broadcast Khi broadcast nhận, hệ thống kiểm tra broadcast định đăng ký hay chưa dựa việc định tuyến broadcast đến ứng dụng Trong Android, đăng ký nhận broadcast theo cách: • khai báo file AndroidManifest.xml: Code kích hoạt kiện hệ thống broadcast code trình khởi động hồn thành • đăng ký phương Context.registerReceiver(): thức nhận tự động thông public class MainActivity extends BroadcastReceiver { @Override public void onReceive(Context context, Intent intent) { Toast.makeText(context, log, Toast.LENGTH_LONG).show(); }} 15 qua Giống Activity, Intent mà BroadcastReceivers nhận IntentFilter mà chúng đăng ký Để hạn chế việc ứng dụng gửi tới receiver Intent, sử dụng thuộc tính android:permission bên tag để định kê khai permission Khi permission định receiver, Activity Manager xác thực sender có permission phù hợp trước truyền Intent Permission cách để chắn receiver nhận Intents từ senders đó, permission khơng ảnh hưởng đến thuộc tính Intents chuyển tới * Gửi Broadcast Intent an toàn Khi gửi broadcast, nhà phát triển gói thêm số thông tin đối tượng nhạy cảm Binder Nếu liệu gửi nhạy cảm, chúng cần phải an toàn đối tượng sender Cách đơn giản để bảo vệ điều yêu cầu receiver có permission phù hợp Bằng cách truyền tên permission manifest tới phương thức Context’s broadcastIntent(), bạn yêu cầu recipients cần permission để thực thao tác Điều cho phép bạn kiểm sốt ứng dụng nhận Intent từ ứng dụng bạn Bạn sử dụng chế IPC để xác định permission Broadcast gửi đến yêu cầu thực thi khác Ví dụ, ứng dụng SMS muốn phát thông báo cho ứng dụng khác quan tâm tới SMS cách phát Intent broadcast Có thể giới hạn receivers cho ứng dụng có quyền RECEIVE_SMS 2.8 Service Android Service thành phần (component) thực hoạt động lâu dài background khơng cung cấp giao diện người dùng Một thành phần khác ứng dụng start nó, tiếp tục chạy background người dùng chuyển sang ứng dụng khác Ngồi thành phần liên kết (bind) với Service để tương tác với Service đó, chí thực truyền thơng liên tiến trình IPC (interprocess communication - IPC bạn hiểu hoạt động chia liệu qua nhiều tiến trình, thơng thường sử dụng giao thức truyền thơng phải có Client Server) Ví dụ: Service thực giao dịch mạng, chơi nhạc, vào file I/O tương tác với content provider, tất từ background 16 Service tương tự BroadcastReceivers Activity bạn bắt đầu chúng cách độc lập với IntentFilter cách định Component Services bảo mật cách thêm thò kiểm tra permission với tag AndroidManifest.xml Các kết nối lâu dài cung cấp binderService() để tạo kênh IPC dựa Binder interface Binder interface kiểm tra permission lệnh caller, cho phép chúng thực thi nhiều permission thời điểm request khác Do đó, Service cung cấp nhiều cách khác để chắn caller đáng tin cậy tương tự với Activities, BroadcastReceivers Binder interface Gọi Service khó khăn Vì thiết lập Service, bạn cần phải xác thực Service mà bạn kết nối đến an toàn có tính đắn có chế đảm bảo tính an tồn tồn vẹn cho thơng tin mà bạn cung cấp Để linh hoạt cho phép users thêm Service ủy quyền cho Service cách kiểm tra permission mà chúng xác báo người dùng Service chia làm loại: - Foreground service: thực số thao tác mà người dùng ý thấy rõ (nghe nhac, tải, …) - Background service: thực hoạt động không người dùng ý trực tiếp (thu gom nhớ dọn dẹp, …) - Bound service: chạy bị ràng buộc với service khác Độ ưu tiên service: Bound > Foreground > Background 2.9 ContentProvider Android Content Providers tập liệu bao bọc custom API phép đọc ghi Nó hoạt động interface cho phép bạn lưu trữ truy xuất liệu từ nguồn lưu trữ liệu (repository) Và đối tượng cho phép bạn chia sẻ liệu ứng dụng khác Tag file AndroidManifest.xml đăng ký provider có sẵn permission cho Content Provider điều phối việc truy cập tới bỗ lưu trữ liệu thông qua API component hình dưới, bao gồm: - Chia sẻ liệu từ ứng dụng bán tới ứng dụng khác - Gửi liệu sang widget - Trả kết gợi ý search cho ứng dụng bạn thông qua Seach Framework sử dụng SearchRecentSuggestionsProvider 17 - Đồng liệu ứng dụng với server cách sử dụng AbstractThreadedSyncAdapter - Tải liệu lên UI sử dụng CursorLoader Hình 2.66.Truy xuất tới ContentProvider ContentProvider hoạt động giống với sở liệu, bạn truy vấn, chỉnh sửa nội dung, thêm, xóa nội dung sử dụng phương thức: insert(), update(), delete(), query() Tích hợp Provider chia sẻ với ứng dụng khác liên quan đến việc chấp nhận rủi ro Ví dụ, liệu ứng dụng đồng hóa liệu dựa truy vấn gửi lại thơng báo sau thay đổi đó? ContentProviders mạnh mẽ, cung cấp phương thức để nhận lại liệu Một tính nâng cao Provider sử dụng cấp phát động thu hồi quyền truy cập từ chương trình khác Các chương trình cấp quyền truy cập định tên package mà đăng ký cài đặt vào hệ thống (trong tag , với giá trị “andriod:package”) Các packages cấp quyền truy cập tạm thời với Uniform Resource Identifier 18 2.10 Phòng chống SQL injection Android Để tránh request SQL Injection, bạn cần phải phân định rõ ràng câu lệnh SQL liệu mà chứa Nếu liệu bị hiểu có chứa câu lệnh SQL, liệu bị leak câu lệnh SQL Injection dễ dàng tránh tảng đại Android thông qua truy vấn với tham số có ràng buộc logic rõ ràng Các phương thức truy vấn ContentProvived: query(), update(), delete() phương thức Activity.managedQuery() tất đề hỗ trợ parameter Các tham số có dạng “String[] selectionArgs” Nếu liệu selectionArgs có chứa câu lệnh có nghĩa SQL, CSDL khơng bị nhầm Bạn thực tất liệu dạng “strings” để tránh vơ tình dẫn đến SQL injection CSDL Lỗi SQL injection input data có ảnh hưởng trực tiếp đến người dùng cuối với khả gây liệu với cú pháp SQL có chứa dấu nháy kép “” SQL injection xảy đâu nhận input data với truy vấn CSDL với liệu Ta ln phải cẩn trọng với lỗi SQL injection, xem xét áp dụng chế an toàn với truy vấn từ xa RSS, website, …) 2.11 Tập tin, tham chiếu lưu trữ liệu Android * Tệp tin hệ thống: Unix-style file permissions có xuất Android cho file systems định dạng để sử dụng chúng, root file system Mỗi ứng dụng có khu vực riêng tệp file system, giống hầu hết chương trình có thư mục home kèm theo ID user Một Activity đối tượng Services ‘s Context cấp phép để truy cập thư mục với phương thức getFilesDir(), getDir(), openFileOutput(), openFileInput(), and getFileStreamPath() Mode parameter sử dụng để tạo file với permission cung cấp tương ứng với Unix file permissions Bạn kết hợp permission với MODE_WORLD_WRITEABLE | MODE_WORLD_READABLE để tạo cho file quyền đọc quyền ghi Có quyền khác cho file permission MODE_PRIVATE, MODE_APPEND, … Ta truyền vào flag để định file có permission đọc ghi hay khơng tạo file hệ thống tệp Linux Ta thay đổi permission file câu lệnh “chmod” terminal Linux Bất kỳ file WORLD_ACCESS phải xem xét cẩn thận với mục sau: - Tệp tin có phải liệu nhạy cảm khơng? 19 - Có điều bất ngờ xảy thay đổi liệu file hay không? - Có liệu định dạng phức tạp có cú pháp để khai thác lỗ hổng hay khơng? - Nếu tệp có permission WORLD_WRITABLE, chương trình xấu ghi đầy nhớ điện thoại ứng dụng bạn bị hiểu nhầm cho điều Hãy cẩn trọng set file permission * Shared Preferences: tính hệ thống hỗ trợ tệp có quyền file khác Mode parameters cho phương thức getSharedPreferences(String name, int mode) sử dụng file modes để định nghĩa Context Đề xuất ta không nên sử dụng quyền WORLD_WRITABLE cho file để tránh khúc mắc bất ngờ * Lưu trữ Các thiết bị Android có lượng nhớ hạn chế hệ thống tệp nội Tuy nhiên, số thiết bị hỗ trợ hệ thống tệp bổ trợ lớn gắn thẻ nhớ Ví dụ: trình giả lập hỗ trợ điều với tham số – sdcard tham chiếu nhiều lần tài liệu Android Nhưng lưu trữ thẻ nhớ SD chế bảo mật bảo vệ liệu bên truy cập thiết bị mà cắm vào Do đó, ta cần cân nhắc đưa liệu nhạy cảm vào Nếu cần lưu trữ liệu bí mật, mã hóa lưu trữ lại khóa key riêng mình, khu vực giấu kín hệ thống tệp tin bạn Shared Memory Card Khi cần chia sẻ liệu với người dùng khác, ta dùng key chế giải mã để di chuyển liệu 2.12 Binder Android * Binder Interface Binder trình điều khiển thiết bị kernel (kernel device driver) sử dụng tính chia sẻ nhớ để đạt hiệu bảo mật cho thiết bị Các dịch vụ hệ thống (system services) phát hành dạng Binder interface AIDL (Android Interface Definition Language: ngôn ngữ định nghĩa interface) sử dụng không để định hình giao diện Service, mà cịn cho phép nhà phát triển tạo liên kết client-server riêng họ Binder Reference mô tả cung cấp Binder device driver Binder IPC sử dụng để truyền trả loại liệu bản, đối 20 tượng, file description Binder Binder có tham chiếu để gọi đến interface nó, nghĩa bạn gọi hàm tương ứng Binder client bên server, điều không đảm bảo Service hiển thị giao diện mà caller u cầu Ví dụ, chương trình khác lấy tham chiếu ứng dụng gọi đến yêu cầu dịch vụ nó, ứng dụng bỏ qua request với kết trả khơng thành cơng lỗi processes không cấp phép * Binder Security Binder security có key chính, thực thi bảo mật bằng: kiểm tra định danh permission caller thông qua tham chiếu bảo mật Binder a Kiểm tra định danh permission Khi gọi Binder interface, định dạng caller kernel cung cấp cách rõ ràng Android liên kết danh tính ứng dụng với luồng mà yêu cầu xử lý (với UID app PID processes cung cấp) Điều cho phép hệ thống xác thực tính đắn caller cách gọi hàm Context class checkCallingPermission(String checkCallingPermissionOrSelf (String permission) permission) Binder Service có permission truy cập lấy định danh caller việc gọi phương thức “getCallingUid() getCallingPid()” class Binder Các phương thức trả UID PID process tạo lệnh gọi Binder Thông tin định danh truyền qua bảo mật tới lệnh thực thi Binder interface kernel Điều tương tự cách Unix domain sockets cho bạn xác định danh tính caller hầu hết chế IPC Win32 b Kiểm tra tham chiếu Binder Không phải lúc nhật Binder reference Trong Java, điều biểu thị đối tượng “android.os.Binder”) Binder biến global đặc trưng tạo Một Binder khơng cần có interface, sử dụng giá trị unique Một Binder truyền qua lại processes với Một Service cung cấp cho caller Binder keys, key để người nhận có key gửi giao tiếp lại Điều hoạt động mật khó đốn Activity Manager sử dụng tham chiếu tự nhiên Binder để kiểm soát việc quản lý Surfaces Activities 21 2.13 Kết luận chương Qua chương này, trình bày khái niệm số định nghĩa liên quan đến Android Security như: - Mơ hình bảo mật Android - Cơ chế bảo mật IPC Android - Giới thiệu thành phần hệ thống Android: Intent, Activity, Broadcast, Service, Binder - Phân quyền an toàn hệ thống Android với phân quyền - Cơ chế phòng tránh SQL Injection Android 22 CHƯƠNG ANDROID SECURITY TOOLS 3.1 Khái quát vấn đề Trong trình phát triển ứng dụng hệ thống tảng Android, nhà phát triển sử dụng nhiều công cụ theo dõi nghiên cứu vấn đề bảo mật Ở chương này, nhóm em có sử dụng giới thiệu công cụ ứng dụng chạy tảng Android người dùng tải từ Google Play: o Package viewer o Dexplorer Hai ứng dụng công cụ kiểm tra thông tin liên quan đến vấn đề bảo mật ứng dụng thiết bị chạy Android bạn Rất nhiều nhà phát triển người dùng sử dụng công cụ để theo dõi xác nhận thông tin ứng dụng chạy thiết bị họ Ở đây, nhóm em sử dụng cơng cụ để kiểm tra độ bảo mật, tên package, file, class permissions nội dung file “AndroidManifest.xml” ứng dụng “Sổ sức khỏe điện tử” 3.2 Package viewer Ứng dụng để hiển thị thông tin chi tiết tất ứng dụng thiết bị di động bạn Hình 3.1.Package viewer 23 Tính năng: o Application searching o Kiểm tra copy tên package ứng dụng o Hiển thị tên gói Launcher class ứng dụng o Hiển thị component ứng dụng thực thi 24 Hình 3.22.Thông tin chi tiết sổ sức khỏe điện tử 25 3.3 Dexplorer Hình 3.3.Dexplorer Là cơng cụ dịch ngược hiển thị tên class ứng dụng Android chạy thiết bị bạn Nó tìm khai thác file DEV/APK tất ứng dụng mà bạn cài đặt qua Google Play cài đặt file APK Tính năng: o Tối ưu hóa hồn tồn cho Android 6.0 Marshmallow Quyền thời gian chạy o Duyệt qua gói tệp Java o Hiển thị định nghĩa lớp, trường chữ ký phương thức o Duyệt qua assets, lib hết file lại hệ thống ứng dụng o Xem file “AndroidManifest.xml” o Có thể sử dụng quyền root cần thiết 26 o Xem trước loại tệp thường sử dụng: xml files, images, sounds, texts, docs, … o Có thể sử dụng để mở tệp APK từ ứng dụng tệp Explorer Hình 3.44.Dexplorer sổ sức khỏe điện tử 3.4 Kết luận chương Qua chương này, nhóm chúng em áp dụng số công cụ để kiểm tra số thông tin ứng dụng việc bảo mật ứng dụng 27 KẾT LUẬN Qua trình đọc hiểu tìm hiểu khái niệm định nghĩa xoay quanh khải niệm Android Android Security, nhóm chúng em tổng hợp tài liệu với nội dung chương trình bày như: - Android, tảng mã nguồn mở - Phát triển gỡ lỗi Android - Cơ chế bảo mật IPC Android - Mơ hình bảo mật Android - Lỗ hổng bảo mật SQL Injection Android - Phân quyền hệ thống Android Khơng tìm hiểu khái niệm định nghĩa, cịn sử dụng cơng cụ kiểm tra an tồn bảo mật hệ thống ứng dụng Android Để đảm bảo an toàn bảo mật cho ứng dụng Android thiết bị Android, khơng nói đến điều cao lớn khác, ta cần phải tìm hiểu khái niệm, nội dung tài liệu này, qua làm tiền đề cho ứng dụng bạn an toàn chạy hệ thống Android Qua đó, cung cấp ứng dụng trải nghiệm tốt đến với người dùng 28 TÀI LIỆU THAM KHẢO [1] Ebook “Android security” 29 ... nhóm em có tìm hiểu đề tài An toàn Bảo mật Android (Android Security) Trong báo cáo này, nhóm em có tìm hiểu trình bày số kiến thức: Sự hoạt động ứng dụng Android Cơ chế bảo mật ứng dụng Android. .. đến khái niệm về: công cụ bảo mật theo dõi Android, chế bảo mật IPC mơ hình bảo mật Android, khai báo phân quyền cho ứng dụng Android CHƯƠNG ANDROID SECURITY 2.1 Phát triển gỡ lỗi Android 2.1.1... KẾT LUẬN Qua trình đọc hiểu tìm hiểu khái niệm định nghĩa xoay quanh khải niệm Android Android Security, nhóm chúng em tổng hợp tài liệu với nội dung chương trình bày như: - Android, tảng mã nguồn