Mỗi smartphone đều được tích hợp hệ điều hành vàngười dùng có thể sử dụng các ứng dụng và tiện ích sẵn có trong cửa hàng ứng dụngcủa hệ điều hành ấy.Các dòng smartphone hiện nay có rất n
Trang 1TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
VIỆN TOÁN ỨNG DỤNG VÀ TIN HỌC
BÁO CÁO MÔN HỌC
ĐỀ TÀI: BẢO MẬT CHO THIẾT BỊ DI ĐỘNG
-MOBILE
Giảng viên môn học: TS Vũ Thành Nam
Nhóm sinh viên thực hiện:
Trang 2I Khái niệm 4
1 Khái niệm 5
1.1 Bảo mật: 5
1.2 Thiết bị di động (mobile): 5
2 Sự cần thiết của bảo mật điện thoại 5
II Các mối đe doạ đối với thiết bị di động 4
1 Rủi ro về phía người dùng 4
2 Tấn công phần cứng 12
2.1 Tấn công phần cứng: hành vi tội phạm mạng thế hệ mới 12
2.2 Lỗ hổng Spectre và Meltdown 13
2.3 Hardware Trojan 16
3 Tấn công phần mềm 25
3.1 8 loại phần mềm độc hại (malware) phổ biến 25
3.2 Tấn công giả mạo (Phishing Attack) 38
3.4 Cuộc tấn công khai thác lỗ hổng Zero-day 44
III Các biện pháp bảo mật 46
1 Tại sao phải bảo mật thông tin? 46
2 Các tiêu chuẩn bảo mật (ISO 17799 – 27001, Mười nội dung chính của ISO 17799) 50
2.1 Tiêu chuẩn ISO 27001 là gì? 50
2.1.1 Các phiên bản của ISO/IEC 27001 52
2.1.2 Tiêu chuẩn BS 7799 52
2.1.3 Tiêu chuẩn ISO/IEC 27002:2005 52
3 Các phương pháp, cộng nghệ bảo mật di động hiện hành 53
Trang 33.1 Tầm quan trọng của bảo mật thông tin 53
3.2 Thách thức trong bảo mật di động 55
3.3 Các cách bảo mật cho điện thoại 56
KẾT LUẬN 65
PHỤ LỤC 66
Trang 4Lời nói đầu
Bảo mật thông tin và an toàn thông tin luôn là vấn đề được quan tâm hàng đầutrong các lĩnh vực chính trị, quân sự hay kinh tế Ngày nay sự đảm bảo an toàn thôngtin đã trở thành vấn đề được rất nhiều người quan tâm trong đó có các cá nhân, tổ chứccũng như nhà nước, khi mà rủi ro khi bị rò rỉ thông tin hay nguy cơ bị xâm nhập trởthành vấn đề cần đối phó hàng ngày, hàng giờ
Công nghệ viễn thông trong những năm gần đây đã có những bước tiến nhấtđịnh và giữ vai trò quan trọng trong xã hội Trong đó, điện thoại ngày càng được pháttriển và mở rộng ra thêm nhiều tiện ích, chức năng, song song với nó là nhu cầu củangười dùng cũng không ngừng tăng cao Hiện nay, hầu hết mỗi người đều có cho mìnhmột chiếc điện thoại, không chỉ dùng để nghe gọi mà còn có thêm nhiều tiện ích giúpchúng ta trong quá trình học tập, làm việc và giải trí, … Bên cạnh đó người dùng cũngrất quan tâm đến vấn đề bảo mật điện thoại Hiện nay chiếc điện thoại không chỉ đơnthuần dùng để nghe gọi như trước mà nó có thể lưu trữ rất nhiều thông tin đòi hỏi tínhbảo mật cao
Như vậy, vấn đề bảo mật mobile là một vấn đề rất hay để tìm hiểu và có hướngphát triển song song với sự phát triển của khoa học công nghệ Để hiểu rõ hơn về nhucầu, cách thức bảo mật, và cũng để trau dồi thêm kiến thức nên nhóm em đã chọn đềtài “Bảo mật Mobile”
Trang 5Bảo mật thông tin yêu cầu duy trì tính bảo mật, tính toàn vẹn và tính sẵn sàngcho toàn bộ thông tin Để đảm bảo tính bảo mật, những yếu tố này cần phải duy trìđồng thời và không thể tách nhau ra.
• Tính bảo mật: Đảm bảo không bị rò rỉ hay mất cắp những thông tin quantrọng Chỉ những người đã được cho phép mới có quyền truy cập vào thông tin
• Tính toàn vẹn: Đảm bảo thông tin không bị chỉnh sửa bởi những kẻ xấu.Chỉ những người có thẩm quyền mới có thể chỉnh sửa thông tin Ngoài ra, khi đượclưu trữ hay truyền đi tính toàn vẹn vẫn phải luôn được đảm bảo
• Tính sẵn sàng: Đảm bảo thông tin luôn sẵn sàng để những người có thẩmquyền có thể truy xuất thông tin bất cứ khi nào họ cần
1.2 Thiết bị di động (mobile):
1.2.1 Phân loại:
Hiện nay, trên thị trường có 2 loại điện thoại phổ biến mà chúng ta thường thấy
đó chính là: điện thoại thông minh (hay còn gọi là smartphone) và điện thoại phổthông
- Điện thoại thông minh (smartphone)
Smartphone được dịch ra tiếng Việt mang nghĩa là điện thoại thông minh Đây
là một loại điện thoại di động thế hệ mới, được cải tiến để thuận tiện cho người dùng
Trang 6với nhiều chức năng thông minh Mỗi smartphone đều được tích hợp hệ điều hành vàngười dùng có thể sử dụng các ứng dụng và tiện ích sẵn có trong cửa hàng ứng dụngcủa hệ điều hành ấy.
Các dòng smartphone hiện nay có rất nhiều công dụng và tiện ích, nó có thể tíchhợp và thay thế cho nhiều loại thiết bị điện tử khác như: máy chơi game, máy ảnh, TV,máy tính, điều khiển, … Giờ đây chúng ta có thể chụp ảnh, quay video, tạo ra trợ lý ảo
để trợ giúp bản thân, …
- Điện thoại phổ thông
Điện thoại phổ thông là loại điện thoại chỉ được cài sẵn một nền tảng đặc trưngcủa một hãng điện thoại nhất định, thường chỉ có các chức năng cơ bản như nghe gọi,nhắn tin cơ bản
Hiện nay, điện thoại phổ thông được cải tiến hơn, đã được hỗ trợ thêm về hệđiều hành như KaiOS có thể bắt wifi, sử dụng được mạng 4G, xem You Tube, … Mangđến cho người dùng nhiều tiện ích hơn
1.2.2 Phần cứng
Phần cứng là khái niệm để chỉ những thành phần, linh kiện để tạo nên một thiết
bị điện tử mà ta có thể chạm vào được Những phần cứng đơn giản và dễ dàng nhìnthấy nhất ở điện thoại có thể kể đến như màn hình, pin, vỏ điện thoại hay mặt kính, …Phần cứng điện thoại chính là thành phần quan trọng nhất của chiếc điện thoại Về mặtcấu tạo thì phần cứng điện thoại gồm có Ram, bộ nhớ trong Rom, CPU, màn hình,main, camera, loa, thẻ nhớ
• Ram là bộ nhớ ngẫu nhiên, một thành phần quan trọng không thể thiếucủa phần cứng điện thoại Các thông tin của hệ thống sẽ được lưu trữ trên Ram, đây cóthể là thông tin của các ứng dụng hay các tập tin hệ điều hành Nếu như không có Ramviệc thực hiện các tác vụ cơ bản sẽ không thể thực hiện vì việc xử lí trở nên rất chậm
Trang 7• Rom cũng là thành phần quan trọng không thể thiếu của chiếc điện thoại.Các chip nhớ được phân bố ở từng khu vực với mục đích khác nhau và trên các thiết bịkhác nhau sẽ có các loại chip nhớ sao cho phù hợp
• Bộ nhớ ngoài: hầu hết các điện thoại đều có khe cắm thẻ nhớ ngoài, đây
là bộ nhớ được thêm vào để hỗ trợ tăng khả năng lưu trữ trên điện thoại
• Phần mềm cài đặt bổ sung là những phần mềm được người sử dụng điệnthoại cài đặt Ví dụ như các trang mạng xã hội Facebook, Tiktok, hay phần mềm nghenhạc trực tuyến zing mp3, …
Các loại điện thoại thông minh hiện nay thường sử dụng 2 loại hệ điều hànhchính là Android và IOS
Trang 8Hệ điều hành Android
Android là hệ điều hành di động được phát triển bởi Google và được sử dụngchủ yếu trong các thiết bị màn hình cảm ứng, thiết bị di động và máy tính bảng Nócho phép người dùng thao tác với các thiết bị bằng chuyển động của ngón tay Ngoài
ra, nó cũng được sử dụng trên tivi, ô tô, đồng hồ đeo tay với thiết kế giao diện riêng
Mã nguồn Android được phát hành ở định dạng mở để thuận tiện cho ngườidùng Các nhà phát triển phần mềm có thể sử dụng Android để phát triển các ứng dụng
để bán trên cửa hàng ứng dụng Ngoài ra, người dùng Android có thể liên kết các thiết
bị với các sản phẩm khác của Google như email hay google drive, …
Hình 1: Hệ điều hành Android của Google
Hệ điều hành iOS
IOS là một hệ điều hành điện thoại di động được phát triển bởi Apple Lúc đầucái tên iPhoneOS là cái tên được đặt cho hệ điều hành này và đến tháng 6 năm 2010 thìchính thức đổi thành tên gọi IOS như hiện nay Ban đầu, IOS được công bố năm 2007dành riêng cho iPhone, sau đó được mở rộng và hỗ trợ cho các thiết bị điện tử khác củaApple như iPod Touch, iPad, Apple Tivi Người dùng có thể thao tác với các thiết bịbằng chuyển động của ngón tay trên màn hình cảm ứng của các thiết bị
Trang 9IOS được sử dụng độc quyền cho phần cứng của Apple Vào ngày 7/6/2021Apple đã cho ra mắt hệ điều hành iOS 15 với nhiều tính năng mới, đây là hệ điều hànhIOS mới nhất của Apple.
Hình 2: Hệ điều hành IOS của Apple
1.2.5 Phương thức giao tiếp, kết nối giữa điện thoại và các thiết bị khác
Điện thoại thông minh có rất nhiều tính năng tiên tiến để hỗ trợ người dùng vàcho phép người dùng kết nối nó với các thiết bị điện tử khác như smart tivi, nhà thôngminh, robot hút bụi, máy tính, loa, … Sau đây là một vài cách kết nối điện thoại vớicác thiết bị điện tử
• Sử dụng dụng cụ hỗ trợ như dây cáp, dùng dây cáp để kết nối giữa điệnthoại và máy tính
• Ứng dụng chuyển dữ liệu bằng wifi: ứng dụng AirDroid hỗ trợ ngườidùng chuyển dữ liệu qua wifi
• Bluetooth: đây là công nghệ hỗ trợ việc truyền dữ liệu qua các khoảngcách ngắn giữa các thiết bị điện tử, sử dụng sóng radio tần số 2.4 GHz Sử dụng
Trang 10Bluetooth có thể thay thế hoàn toàn dây nối, an toàn và có tính bảo mật với công nghệ
mã hoá trong Có tính tương thích cao nên hiện nay hầu hết các nhà sản xuất phầncứng và phần mềm đều hỗ trợ Để kết nối Bluetooth ta cần bật Bluetooth trên cả 2 thiết
bị, sau đó tìm kiếm và kết nối với nhau
• Kho lưu trữ đám mây: kho lưu trữ đám mây ở đây có thể kể đến nhưOneDrive, Google Drive, iCloud, … Để thực hiện ta phải tải các tệp từ điện thoại hoặcmáy tính lên kho lưu trữ đám mây, sau đó trên thiết bị kia ta cũng đăng nhập vào cùngtài khoản đám mây đó, như vậy ta có thể truy cập vào mọi tệp tin
Hình 3: Một số kho lưu trữ đám mây
• Các ứng dụng riêng dành cho các thiết bị muốn kết nối: ví dụ như vớiRobot hút bụi Xiaomi, người dùng sẽ cài đặt ứng dụng Mi Home về điện thoại, đăngnhập và kết nối với máy là có thể sử dụng, Ecovacs Home sử dụng cho các thiết bịthông minh của Ecovacs, …
Trang 112 Sự cần thiết của bảo mật điện thoại
Ở thời điểm mới được ra mắt, chiếc điện thoại chỉ có những chức năng cơ bảnnhất như nghe, gọi, nhắn tin Điều duy nhất cần quan tâm lúc bấy giờ là kẻ xấu có thểnghe được những gì người dùng nói hay không Cho tới khoảng hơn chục năm trở lạiđây, điện thoại thông minh được ra đời và ngày càng cải tiến hơn với nhiều tính năngcủa cả các thiết bị khác như máy tính, máy ảnh, …
Đi kèm với sự bùng nổ của những tiện ích đấy là những lo ngại về các khoảngtrống, sự thiếu sót về bảo mật và mất cảnh giác từ phía người dùng Ngày nay, hầu hếttất cả điện thoại đều có thể lưu trữ thông tin cá nhân, tài khoản ngân hàng, dữ liệu, vănbản, hình ảnh, … và nó cũng trở thành mục tiêu cho những kẻ xấu, những hacker để ýtới Trên thực tế, đã có rất nhiều người trở thành nạn nhân của những vụ tống tiền khi
bị ăn cắp những thông tin mật hay bị làm phiền vì bị lộ thông tin cá nhân, …Câu hỏi đặt ra ở đây là vấn đề bảo mật dành cho điện thoại có thực sự quantrọng hay không? Xét trên mức độ phổ biến và cần thiết của chiếc điện thoại hiện nayđối với mỗi cá nhân và những rủi ro có thể gặp phải khi bảo mật không tốt thì câu trảlời ngắn gọn và đầy đủ nhất ở đây là “có” Trên thực tế, những mối hiểm hoạ thườngrất khó nhận ra để có thể phòng tránh, từ việc đơn giản như người dùng để quên điệnthoại, người khác có thể nhặt được và xem hết những thông tin người dùng đã lưu trữ.Hay phức tạp hơn như các phần mềm độc hại, giả mạo để lấy cắp thông tin, … Vậynên việc đề cao tính bảo mật ở điện thoại là một trong những điều quan trọng nhất đểbảo vệ thông tin và tránh những rủi ro có thể gặp
Trang 12II Các mối đe doạ đối với thiết bị di động
Số lượng các vụ vi phạm dữ liệu được ghi nhận ở thời điểm hiện tại đangcao hơn bao giờ hết: Theo một báo cáo năm 2018, chi phí trung bình cho một vụ
vi phạm dữ liệu công ty là một con số khổng lồ khoảng 3,86 triệu đô la Con sốnày cao hơn 6,4% so với chi phí ước tính chỉ một năm trước đó
Một sai lầm trong nhận thức của đa số mọi người là các vụ vi phạm này sẽđến từ các phần mềm độc hại Tuy nhiên, sự thật là việc nhiễm phần mềm độchại trên thiết bị di động cực kỳ hiếm gặp trong thế giới thực – với tỷ lệ bị nhiễmtrên các thiết bị thấp hơn đáng kể so với khả năng một người bị sét đánh Đó lànhờ vào cả 2 yếu tố bao gồm bản chất các loại phần mềm này và những biệnpháp bảo vệ vốn có được tích hợp trong các hệ điều hành di động hiện đại
1 Rủi ro về phía người dùng
Những thói quen xấu của người dùng
Sử dụng cùng một mật khẩu cho nhiều tài khoản trực tuyến
Đây là thói quen xấu phổ biến nhất hiện nay và cũng là thói quen gây táchại nhất mà nhiều người mắc phải Có quá nhiều dịch vụ trên mạng cần phảiđăng kí tài khoản, và trí nhớ con người thì hữu hạn, tại sao phải lập quá nhiềumật khẩu? Sự nguy hiểm của thói quen xấu này chính là nếu chẳng may mậtkhẩu của họ rơi vào tay kẻ xấu, chỉ cần một mật khẩu mà tất cả các tài khoảntrực tuyến của nạn nhân đều bị ảnh hưởng, trong đó có thể có tài khoản ngânhàng và tài khoản liên quan đến tài chính
Trang 13Hình 4: Vấn đề về thông tin đăng nhậpHãy sử dụng các dịch vụ, công cụ quản lý mật khẩu như Last Pass hayDashlane Khi dùng những dịch vụ này, người dùng chỉ cần nhớ một mật khẩucho nhiều tài khoản đã có mật khẩu được mã hóa khác nhau.
Không bao giờ đổi mật khẩu hoặc ít cập nhật
Trang 14Hình 5: Các bước đổi mật khẩuThay đổi mật khẩu thường xuyên là yêu cầu tối thiểu của việc bảo mật tàikhoản Microsoft khuyến cáo người dùng nên đổi mật khẩu của mình ít nhất là
từ 30 đến 90 ngày một lần để đảm bảo tính bảo mật và an toàn cho tài khoản.Không dùng xác thực 2 bước
Trang 15Hình 6: Xác thực 2 yếu tốTất cả các dịch vụ liên quan đến Internet hiện nay đều cung cấp tính năngxác thực 2 bước để tăng cường bảo mật cho tài khoản trực tuyến Tính năng xácthực 2 bước cho phép người dùng sử dụng thêm thiết bị thứ hai để xác minhdanh tính khi đăng nhập vào một tài khoản Cụ thể là dùng điện thoại của mình.Sau khi nhập mật khẩu như thường lệ, một mã xác thực sẽ được gửi đến số điệnthoại người dùng đăng kí trước đó Người dùng cần nhập mã số này vào để hoàntất các bước đăng nhập an toàn Đây là một tính năng khá hữu hiệu nếu chẳngmay tài khoản bị đánh cắp được mật khẩu.
Không xóa ảnh và nhạc cũ trong điện thoại
Những dữ liệu hình ảnh và nhạc không dùng đến nữa sẽ làm lãng phí dunglượng bộ nhớ trên điện thoại Hãy rèn luyện thói quen dọn bộ nhớ máy thườngxuyên bằng cách xóa đi những dữ liệu media như thế này Những tập tin nhạcnếu được dọn dẹp sạch sẽ giúp thiết bị hoạt động nhanh hơn, hiện quả và ít hao
Trang 16pin hơn Nếu vẫn muốn lưu trữ chúng, hãy chọn sao lưu dữ liệu lên các tài khoảndịch vụ lưu trữ đám mây như iCloud, Google Dreive, Dropbox hay Flickr.Quên không đăng xuất trên thiết bị công cộng.
Hình 7: Đăng xuất khỏi tất cả các thiết bịKhi đi du lịch, hoặc vì một lý do nào đó mà người dùng phải sử dụng máytính công cộng hay mượn máy của ai đó để sử dụng tạm trong một thời gianngắn Khi sử dụng thiết bị công cộng hay dùng chung máy với người khác, luônnhớ đăng xuất ra khỏi phiên lướt web và các tài khoản trực tuyến đã đăng nhậpqua thiết bị cũng như xóa lịch sử duyệt web khi dùng xong Hạn chế hết mức cóthể việc dùng thiết bị công cộng đăng nhập vào những tài khoản cá nhân, nhạycảm như tài khoản mạng xã hội, tài khoản ngân hàng trực tuyến Một số tài
Trang 17khoản như Google, Facebook và Skype còn có tính năng giúp đăng xuất tàikhoản từ xa.
Không cập nhật thiết bị thường xuyên
Khi nhìn thấy thông báo về các bản cập nhật mới thì chúng ta nên cập nhật để có thể sử dụng thiết bị một cách tốt nhất Việc nâng cấp, cài đặt các bản cập nhật này có thể là việc mất thời gian nhưng rất quan trọng Các bản cập nhật,đặc biệt là trên điện thoại, thường đi kèm với các bản vá lỗi làm chậm điện thoại hoặc các bản vá những lỗ hổng bảo mật
Hình 8: Cập nhật hệ điều hành của thiết bịKhông khóa các thiết bị của người dùng
Hầu hết chúng ta thường lưu giữ hàng tấn thông tin cá nhân trên thiết bịcông nghệ của mình và điều quan trọng là người dùng cần phải bảo vệ chúng đểtránh những hậu quả không mấy vui vẻ có thể xảy ra Cách dễ dàng nhất để làm
Trang 18quyền quản lý hệ thống Trung tuần tháng 5 vừa qua, công ty công nghệ SecurusTechnologies (Mỹ) đã rao bán dữ liệu định vị theo thời gian thực của hàng triệungười dùng Đáng chú ý, Securus Technologies nhận dữ liệu từ một công ty khác
có tên là LocationSmart và bản thân công ty LocationSmart cũng mua dữ liệu từcác công ty truyền thông như AT&T, Sprint, T-Mobile và Verizon
Theo các chuyên gia bảo mật, những vi phạm an toàn thiết bị di động sẽcòn gia tăng trong thời gian tới, tiếp tục khiến cho những nguy cơ mất an toànthông tin từ chính các thiết bị di động trở nên nguy hiểm hơn Vì thế ở góc độngười dùng, nhất là các TC/DN cần phải nhận diện được các mối đe dọa đối vớithiết bị di động để tận dụng được lợi ích từ thiết bị di động nhưng vẫn đảm bảovấn đề an toàn cho hoạt động của mình Cụ thể, các mối đe dọa trên thiết bị diđộng có thể được chia thành nhiều loại như các mối đe dọa từ vật lý, mạng, hệthống và ứng dụng
3.3 Các cách bảo mật cho điện thoại
3.3.1 Sử dụng lớp bảo vệ thứ nhất
Khi điện thoại đang trở thành một đồ dùng quan trọng và lưu trữ rất nhiềuthông tin của chúng ta thì việc bảo mật điện thoại là vô cùng cần thiết Trướctiên, hãy đặt khóa điện thoại của mình mỗi khi không sử dụng bằng cách đặt thờigian khóa hoạt động của màn hình, mật khẩu điện thoại, những chức năng nàyhiện nay đã có trên hầu hết tất cả các điện thoại di động
Các chức năng bảo mật cơ bản có thể kể tới hiện nay như bảo mật bằngmật mã, bảo mật bằng hình vẽ, bảo mật vân tay hay bảo mật bằng khuôn mặt
Bảo mật bằng mật mã:
- Bảo mật bằng mật mã được chia làm 2 lại là mã PIN (thường là 4 hoặc 6số) hoặc Password (gồm cả số và chữ) Hình thức này có tính bảo mật khá cao,