HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THONG KHOA AN TOÀN THÔNG TIN PT, LA _ e — d DE TAI: NGHIEN CUU PHUONG PHAP PHAT HIEN LO HONG BAO MAT CUA PHAN MEM UNG DUNG TREN HE DIEU HANH ANDROID Giảng viên hướng dẫn : PGS TS DO XUAN CHỢ Sinh viên thực hiện : NGUYEN KIEU TRINH Lớp : ` DI9CQAT01-B Niên khóa : 2019 - 2024 Hệ : Đại học chính quy Hà Nội, tháng | năm 2024 HỌC VIEN CÔNG NGHỆ BƯU CHÍNH VIỄN THONG KHOA AN TOÀN THÔNG TIN PT, LA _ e — d DO AN TOT NGHIEP DAI HOC DE TAI: NGHIEN CUU PHUONG PHAP PHAT HIEN LO HONG BAO MAT CUA PHAN MEM UNG DUNG TREN HE DIEU HANH ANDROID Giảng viên hướng dẫn : PGS TS DO XUAN CHỢ Sinh viên thực hiện : NGUYEN KIEU TRINH Lớp : DI9CQAT01-B Niên khóa : 2019-2024 Hệ : Đại học chính quy Hà Nội, thang 1 năm 2024 Đô án tôt nghiệp Lời cảm ơn LỜI CẢM ƠN Trong suốt quá trình hoc tập, thực tập va thực hiện đồ án tốt nghiệp, em luôn nhận được sự quan tâm, hướng dẫn, giúp đỡ và chỉ bảo tận tình từ các thầy cô trong Khoa Công nghệ thông tin 1, cũng như các thầy cô trong Khoa An toàn thông tin — Học viện Công nghệ Bưu chính Viễn thông, bên cạnh đó là sự giúp đỡ của bạn bè Lời đầu tiên, em xin gửi lời cảm ơn chân thành đến tới các Thầy, Cô trong Khoa Công Nghệ Thông Tin I, cùng Khoa An toàn thông tin và toàn thể các cán bộ của Học viện Công nghệ Bưu chính Viễn thông Hà Nội, đã truyền đạt cho em những kiến thức hữu ích và quan trọng trong suốt quá trình em học tập và rèn luyện tại trường Đặc biệt, em xin gửi lời biết ơn sâu sắc tới Thầy giáo hướng dẫn đồ án tốt nghiệp của em — PGS TS Đỗ Xuân Chợ Trong suốt khoảng thời gian làm đồ án, thầy đã tận tình hướng dẫn và chỉ dạy, giúp em có những định hướng và phương pháp tiếp cận trong quá trình tìm hiểu, thực hiện cho tới những bước cuối cùng dé đồ án được hoàn thành Cuối cùng, em xin cảm ơn gia đình, bạn bẻ và đồng nghiệp đã luôn ở bên cạnh em, quan tâm động viên, giúp em có điều kiện tốt nhất trong cả quá trình học tập cũng như khi thực hiện đồ án Do trình độ kiến thức cũng như kinh nghiệm thực tế còn nhiều hạn chế, nên trong đồ án của em không thể tránh khỏi những thiếu sót Vì thế, em rất mong nhận được sự quan tâm, góp ý của các Thầy, Cô để đồ án của em được hoàn thiện hơn Những ý kiến cũng như góp ý của các Thầy, Cô sẽ giúp em nhận ra những hạn chế, qua đó em sẽ có thêm những nguồn tư liệu cũng như kiến thức mới cho con đường học tập cũng như công việc sau này Em xin chân thành cảm ơn! Hà Nội, thang 1 năm 2024 Sinh viên thực hiện Nguyễn Kiều Trinh Nguyễn Kiều Trinh - B19DCAT197 iii Đồ án tốt nghiệp Nhận xét, đánh giá, cho điểm (của người hướng dân) NHAN XET, DANH GIA, CHO DIEM (Của Người hướng dẫn) Di€M (bằng chữ ) Đồng ý/Không đồng ý cho sinh viên bảo vệ trước hội đồng cham đồ án tốt nghiệp? Hà Nội, ngày tháng năm 2023 CÁN BỘ - GIẢNG VIÊN HƯỚNG DẪN (ký, họ tên) Nguyễn Kiều Trinh - B19DCAT197 iv Đồ án tốt nghiệp đại học Danh mục NHAN XÉT, ĐÁNH GIÁ, CHO DIEM (Của Người phản biện) Hà Nội, ngày tháng năm 2023 CÁN BỘ - GIẢNG VIÊN PHẢN BIỆN (ký, họ tên) Nguyễn Kiều Trinh — B19DCAT197 iv Đồ án tốt nghiệp Mục lục MỤC LỤC DANH MỤC CÁC TU VIET TẮTT ¿S.t +x+E.EE+.EEE.E2E+.ESE.EEE.EEEE.EES.ErE.rrrr.rre-ree viii DANH MỤC BẢNG .52-.5 9S SE.EEE.1E.712.71.717.11.111.11.111.1 11-11-1-112-ye.ix DANH MỤC HINH VE uw.cssscssssssssessessesssssvcssesesssssscssesssssessssnesnesuesscsnessevsssaveeeees x MỞ YO 52 5222 121121211211211211211211111211221111121121121120111021112101 | CHƯƠNG 1: TONG QUAN VE UNG DUNG ANDROID -:3 1.1 Gidi thiệu về hệ điều hành Android [ I] .2.s.s.+s.+.+s.et.x+-xe-re-rx2ze-s 3 1.2 Giới thiệu về cau trúc ứng dụng Android [1] [2] ««+- 5 1.2.1 Giao tiếp với hệ điều hành 2.-2 2+.52.+S£.+E.E+.EE.£EE.zE.er.xe.rrr.er-sz-ee 5 1.2.2 Android Manifest cccccccccceesccccssssssccssssessccessssssecesseesssseeees 5 1.2.3 Các thành phan trong ứng dung Android c.5.s.+.c+-ss-c-xe-¿ 6 1.3 Một vài van dé bảo mật thường gặp trong ứng dụng Android 9 1.3.1 Van dé phân quyền 2.2S.s+.EE.‡E.EE.EE2.EE.EE.2E.EEE.EE.E2.EE.EEE.eE-Er-re-eg 9 1.3.2 Var đề lưu trữ ce+E2E2E21211211E2111111111c1xe1 10 1.3.3 Vấn đề WebViews .2.c c2 2.21.1.2.1.21.1.2.1.11 -cre- 11 CHUONG 2: PHUONG PHAP KIEM THU AN TOAN UNG DUNG ANDROID 12 2.1 Tổng quan về kiểm thử an toàn (security testing) -s-e-e-sr-s 12 2.1.1 _ Giới thiệu về kiểm thử an toàn (security testing) - 12 2.1.2 _ Giới thiệu về kiểm thử an toàn trên ứng dụng Android 12 2.1.3 So sánh kiểm thử an toàn (security testing) và kiểm thử xâm nhập UM9s10vi10i80:51ii12 212777 .4 12 2.2 Phương pháp thực hiện kiểm thử an toàn [ I] -¿ 2sz5sz=s¿ 13 2.2.1 Phan tích tinh (static anaÏyS1S) .- 5.c.cs.S.cs.xs.s.sk.ss.s.ee.rs.r.ee.e 13 2.2.2 _ Phân tích động (dynamic anaÌyS1S) .+.55.s.ss.ss.s+.+s.ss.se.ee.xs-ss-s 15 2.2.3 Kiểm thử bảo mật tích hợp ¿.s.e.t.+.k‡.EeE.Ek.eE-erk-rk-ere¿rk-es 15 2.3 Một vài công cụ phân tích tinh ứng dung Android .-.-. . 16 2.3.1 QARK (Quick Android Review KTẨ) 2.-.5.5 S5 s.+.