ĐẠI HỌC QUỐC GIA TP HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CƠNG NGHỆ THƠNG TIN KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THƠNG ——————– * ——————— KHĨA LUẬN TỐT NGHIỆP XÂY DỰNG HỆ THỐNG QUẢN LÝ BẢO MẬT TRÊN ANDROID SMARTPHONES Giảng viên hướng dẫn: TS NGUYỄN ANH TUẤN Sinh viên thực : NGUYỄN THÀNH VINH LÊ VĂN THƯƠNG Lớp : MMT03 Khóa : 2008 - 2012 TP Hồ Chí Minh, tháng năm 2013 – 08520618 – 08520599 TÓM TẮT ii TÓM TẮT Ngày nay, điện thoại di động trở thành máy tính cá nhân Chúng lưu trữ liệu, thực hầu hết tương tự chức máy tính [18] Thơng qua hệ thống quản lý liệu hành vi giao tiếp người dùng, điện thoại di động nắm giữ lượng thông tin đồ sộ Các thơng tin bao gồm thông tin cá nhân danh bạ, tin nhắn cá nhân, email, thông tin tài khoản, thông tin mạng xã hội, hình ảnh, video thơng tin tài chính, ngân hàng, hoạt động doanh nghiệp, tổ chức Thực vậy, lấy bối cảnh môi trường doanh nghiệp, 80% liệu quan trọng lưu trữ điện thoại di động [1] Theo tài liệu Alliance Against Crime, 80% người sử dụng điện thoại di động Vương quốc Anh lưu trữ thơng tin cá nhân lợi dụng để lừa đảo, 16% người sử dụng lưu trữ thông tin tài khoản ngân hàng họ [8] Ngoài ra, điện thoại di động phương thức toán 50 triệu người sử dụng thập kỷ tới [10] Thật không may, đôi với nhỏ gọn linh hoạt mình, điện thoại di động dễ bị tổn thương cố, nạn trộm cắp từ hành vi sử dụng người dùng Theo tạp chí Mobile World, tồn Vương quốc Anh ước tính có 76 triệu điện thoại di động, có 4,2 triệu thiết bị cảnh báo có nguy bị trộm cắp Cùng với đó, nạn trộm cắp điện thoại gây thiệt hại 390 triệu bảng Anh năm với triệu thiết bị bị mất, tương đương với 229 thiết bị [8] Tội phạm dùng thiết bị để thực lừa đảo qua email, quấy rối qua tin nhắn, buôn bán nội dung khiêu dâm, tội phạm ma túy, tống tiền [15] Thực tế cho thấy việc bảo vệ thiết bị liệu điện thoại di động vấn đề đặc biệt quan trọng Điều xảy điện thoại lưu thông tin giao dịch bạn bị hư hỏng cố? Điều xảy thông tin cá nhân bạn bị đọc lén? Làm cách để biết không sử dụng điện thoại bạn thất lạc đâu đó? Làm cách để lấy lại liệu thiết bị mất? Trên giới có nhiều ứng dụng phát triển để giải vấn đề Trong phải kể đến ứng dụng công ty bảo mật uy tín Lookout Security & Antivirus, Kaspersky Mobile Security, Bitdefender Anti-Theft, Các ứng dụng thực tốt chức bảo mật liệu, cảnh báo nguy cơ, truy vết điện thoại di động Tuy nhiên, vấn đề truy tìm chủ GVHD: TS Nguyễn Anh Tuấn SVTH: Nguyễn Thành Vinh - Lê Văn Thương TÓM TẮT iii sở hữu thiết bị (tại Việt Nam) hỗ trợ quan chức điều tra tội phạm thiết bị để ngõ Chính vậy, khóa luận mong muốn xây dựng phát triển hệ thống quản lý bảo mật điện thoại di động nhằm bảo vệ, quản lý liệu người dùng, tự động cảnh báo truy tìm dấu vết thiết bị, khai thác liệu thiết bị để phục vụ công tác điều tra Bên cạnh đó, khóa luận cịn nghiên cứu vấn đề mobile forensics hệ điều hành Android để góp phần nâng cao khả thu thập liệu lĩnh vực pháp chứng số tư vấn người dùng nguy bảo mật smartphones Do thời gian nghiên cứu hạn chế, báo cáo chắn cịn nhiều sai sót, khuyết điểm Nhóm tác giả kính mong q Thầy, Cơ bạn đóng góp ý kiến để đề tài hoàn thiện thực tiễn Xin chân thành cảm ơn! TP Hồ Chí Minh, ngày 01 tháng 03 năm 2013 Nhóm tác giả GVHD: TS Nguyễn Anh Tuấn SVTH: Nguyễn Thành Vinh - Lê Văn Thương LỜI CẢM ƠN iv LỜI CẢM ƠN Chúng xin gởi lời cảm ơn chân thành sâu sắc đến thầy khoa Mạng Máy Tính Truyền Thông, tất thầy cô trường Đại Học Công Nghệ Thông Tin truyền đạt kiến thức, kinh nghiệm quý báu suốt q trình chúng tơi học tập nghiên cứu trường Chúng xin gởi lời cảm ơn đặc biệt đến thầy TS Nguyễn Anh Tuấn, người thầy truyền cảm hứng, niềm đam mê nghiên cứu, sáng tạo cho chúng tơi Thầy người tận tình hướng dẫn, hỗ trợ tạo điều kiện tốt để chúng tơi hồn thành khóa luận Xin gởi lời cảm ơn đến anh, chị bạn bè khoa Mạng Máy Tính Truyền Thơng giúp đỡ, trao đổi kiến thức suốt trình học tập thực khóa luận Chúng xin dành lời cám ơn to lớn đến ba, mẹ gia đình Ba, mẹ gia đình ln bên chúng con, nguồn động lực không mệt mỏi chỗ dựa tinh thần vững giúp chúng vượt qua khó khăn để hồn thành tốt khóa luận Mặc dù nỗ lực cố gắng song khóa luận chắn khơng thể tránh khỏi sai sót, khuyết điểm Chúng tơi kính mong nhận thơng cảm tận tình bảo, góp ý q Thầy Cơ bạn TP Hồ Chí Minh, ngày 01 tháng 03 năm 2013 Nhóm tác giả GVHD: TS Nguyễn Anh Tuấn SVTH: Nguyễn Thành Vinh - Lê Văn Thương NHẬN XÉT v Nhận xét (của giảng viên hướng dẫn) GVHD: TS Nguyễn Anh Tuấn SVTH: Nguyễn Thành Vinh - Lê Văn Thương NHẬN XÉT vi Nhận xét (của giảng viên phản biện) GVHD: TS Nguyễn Anh Tuấn SVTH: Nguyễn Thành Vinh - Lê Văn Thương MỤC LỤC vii Mục lục Tóm tắt ii Mục lục vii Danh mục hình ảnh x Danh mục bảng biểu xii Giới thiệu đề tài 1.1 Tên đề tài 1.2 Từ khóa 1.3 Mục tiêu đề tài vấn đề đặt 1.4 1.5 1.6 1.7 1.8 Đối tượng áp dụng phạm vi đề tài Đối tượng nghiên cứu Phương pháp nghiên cứu Đóng góp đề tài Cấu trúc khóa luận Khảo sát trạng kiến thức liên quan 2.1 An toàn thông tin điện thoại di động 2.2 Kịch rủi ro 2.3 Đặc điểm thiết bị an toàn 2.4 Các hệ thống phát triển 2.5 2.4.1 Lookout Security & Antivirus 2.4.2 Kaspersky Mobile Security 2.4.3 Bitdefender Anti-Theft Hệ điều hành Android 2.5.1 Sự phát triển hệ điều hành Android 2.5.2 Đặc trưng hệ điều hành Android 2.5.3 Lập trình Android GVHD: TS Nguyễn Anh Tuấn 1 1 3 4 6 10 11 12 13 15 15 15 17 SVTH: Nguyễn Thành Vinh - Lê Văn Thương MỤC LỤC 2.6 viii 2.7 Android Forensics 2.6.1 Nhận dạng vơ hiệu hóa điện thoại Android 2.6.2 Tổ chức lưu trữ liệu hệ điều hành Android 2.6.3 Android Rooting ảnh hưởng đến mobile forensics Các kiến thức cần thiết khác 18 18 19 23 28 2.8 2.9 2.7.1 Web Service 2.7.2 Yii framework 2.7.3 Ozeki SMS Gateway Thảo luận Kết chương 28 30 31 31 32 Thiết kế hệ thống 3.1 Đặc tả yêu cầu 3.1.1 Mục đích, phạm vi hệ thống 3.1.1.1 Mục đích xây dựng hệ thống 3.1.1.2 Phạm vi hệ thống 3.3 3.4 Thiết 3.3.1 3.3.2 34 34 36 37 38 38 38 3.2.1.2 Kiến trúc ứng dụng TUI Security Thiết kế Use Case Diagram 3.2.2.1 Danh sách tác nhân 3.2.2.2 Use Case Diagram kế sơ đồ khối giải thuật Các tính Tính điều khiển 39 41 41 42 46 46 48 53 53 55 62 Yêu cầu hệ thống 3.1.2.1 Yêu cầu chức 3.1.2.2 Yêu cầu kỹ thuật 3.1.2.3 Yêu cầu thiết bị Thiết kế hệ thống 3.2.1 Thiết kế kiến trúc hệ thống 3.2.1.1 Mơ hình hệ thống 3.2.2 33 33 33 33 34 3.1.2 3.2 3.3.3 Tính tìm thông 3.3.4 Bảo mật 3.3.5 Tương tác service Kết chương GVHD: TS Nguyễn Anh Tuấn tin vị trí thiết bị SVTH: Nguyễn Thành Vinh - Lê Văn Thương MỤC LỤC ix Hiện thực hệ thống quản lý bảo mật TUI Security 4.1 Môi trường thực thi 4.2 Hiện thực chương trình TUI Security 4.2.1 Sơ đồ lớp 4.2.1.1 Hiện thực phận thực thi điều khiển 4.2.1.2 Hiện thực số tính quan trọng 4.2.2 Sơ đồ 4.3 4.4 63 63 63 63 63 66 69 4.2.2.1 Soạn thảo tin nhắn điều khiển 4.2.2.2 Lắng nghe, phân tích thực thi điều khiển ảnh hệ thống TUI Security Cái nhìn tổng quan hệ thống Đăng ký tài khoản hệ thống Thiết lập thông số ban đầu Các giao diện ứng dụng 70 71 72 72 74 75 76 4.3.5 Thực thi điều khiển từ ứng dụng Tổng kết đánh giá hệ thống 77 78 Hình 4.3.1 4.3.2 4.3.3 4.3.4 Kết luận & Hướng phát triển 5.1 5.2 79 Kết luận Hướng phát triển 5.2.1 Các vấn đề an ninh bảo mật 5.2.2 Theo dõi mạng lưới hoạt động tội phạm 5.2.3 Phục hồi liệu bị xóa 5.2.4 Một số tính nâng cao 79 80 80 81 81 82 Phụ lục 83 Tài liệu tham khảo 88 GVHD: TS Nguyễn Anh Tuấn SVTH: Nguyễn Thành Vinh - Lê Văn Thương DANH MỤC HÌNH ẢNH x Danh mục hình ảnh 2.1 2.2 2.3 2.4 2.5 Tính Find My Phone Lookout Security & Antivirus Tính Anti-theft Kaspersky Mobile Security Giao diện điều khiển ứng dụng Bitdefender Anti-Theft Các biến shared preferences ứng dụng Gmail Cấu trúc thư mục liệu ứng dụng Google Maps 11 13 14 20 21 2.6 2.7 2.8 2.9 2.10 2.11 2.12 Cấu trúc thư mục database ứng dụng Android Browser Android Browser plaintext password Các liệu khai thác từ trình duyệt web Android Các liệu danh bạ tin nhắn Dữ liệu ứng dụng Gmail Các liệu khai thác từ Facebook Kiến trúc web service 22 24 24 25 26 27 28 3.1 3.2 Chim Tui - New Zealand Mơ hình hệ thống TUI Security 33 38 3.3 3.4 3.5 3.6 3.7 3.8 3.9 Kiến trúc ứng dụng TUI Security Danh sách tác nhân sử dụng hệ thống Use Case Diagram Use case Login App Use case Remote Control Device Sơ đồ khối xử lý trường hợp khẩn cấp Sơ đồ khối xử lý nhận tin nhắn điều khiển 39 41 42 43 44 47 3.10 3.11 3.12 3.13 lấy thông tin thiết bị Sơ đồ khối xử lý nhận tin nhắn điều khiển thực thi lắng nghe Sơ đồ khối mô tả điều kiện để kết thúc việc lắng nghe thiết bị Sơ đồ khối xử lý có tin nhắn điều khiển khóa hình phát âm cảnh báo Sơ đồ khối bên nhận u cầu lấy vị trí thiết bị thơng tin thuê bao GVHD: TS Nguyễn Anh Tuấn 50 51 52 54 55 SVTH: Nguyễn Thành Vinh - Lê Văn Thương CHƯƠNG HIỆN THỰC HỆ THỐNG QUẢN LÝ BẢO MẬT TUI SECURITY 4.3.4 76 Các giao diện ứng dụng (1) Giao diện ứng dụng (2) Giao diện điều khiển thiết bị (4) Cấu hình nâng cao (3) Giao diện cấu hình ứng dụng Hình 4.14: Các giao diện tương tác ứng dụng TUI Security GVHD: TS Nguyễn Anh Tuấn SVTH: Nguyễn Thành Vinh - Lê Văn Thương CHƯƠNG HIỆN THỰC HỆ THỐNG QUẢN LÝ BẢO MẬT TUI SECURITY 4.3.5 77 Thực thi điều khiển từ ứng dụng (1) Giao diện điều khiển thiết bị (2) Chọn target number target PIN (4) Backup Message thành công (3) Gửi điều khiển Backup & Delete Message thành cơng Hình 4.15: Các bước thực điều khiển từ xa ứng dụng GVHD: TS Nguyễn Anh Tuấn SVTH: Nguyễn Thành Vinh - Lê Văn Thương CHƯƠNG HIỆN THỰC HỆ THỐNG QUẢN LÝ BẢO MẬT TUI SECURITY 4.4 78 Tổng kết đánh giá hệ thống Như vậy, qua bốn chương trình bày, khóa luận nghiên cứu phát triển thành công hệ thống quản lý bảo mật TUI Security với chức chính: quản lý bảo vệ liệu; cảnh báo chống trộm; tìm kiếm điện thoại; khai thác thông tin phục vụ công tác điều tra Giống đa số hệ thống quản lý bảo mật thị trường, hệ thống TUI Security có hầu hết tính cần thiết hệ thống quản lý bảo mật như: bảo vệ liệu, điều khiển từ xa, tìm kiếm điện thoại, cảnh báo chống trộm Hơn nữa, hệ thống TUI Security có điểm bật so với hệ thống trước như: • Hệ thống TUI Security có khả truy tìm thơng tin tên, số chứng minh nhân dân chủ sở hữu SIM Cards gắn thiết bị Điều có ý nghĩa quan trọng trình tìm kiếm thiết bị phục vụ cho cơng tác điều tra tội phạm • Hệ thống có khả khai thác liệu thiết bị phục vụ người dùng liệu pháp chứng Bên cạnh đó, hệ thống có chế để cân hai trình bảo vệ liệu khai thác liệu • Giao diện ứng dụng thiết kế khoa học, thân thiện dễ sử dụng Tuy nhiên, thời gian nghiên cứu phát triển hạn chế nên hệ thống TUI Security có nhiều hạn chế quan trọng như: • Mặc dù có số chế để giảm bớt phạm vi ảnh hưởng ứng dụng lên thiết bị hệ thống chưa cân nhắc đầy đủ nguy hệ thống bị người dùng sử dụng sai mục đích • Hệ thống cịn thiếu số tính cao cấp điều khiển từ xa qua web, theo dõi thiết bị, cảnh báo ứng dụng cài đặt gây nguy hiểm cho thiết bị, • Hệ thống cịn vài lỗi nhỏ, q trình xử lý điều khiển cịn phức tạp Ứng dụng tiêu hao nhiều lượng người dùng bật GPS, 3G Những vấn đề đề cập rõ phần 5.2 - Hướng phát triển hệ thống chương GVHD: TS Nguyễn Anh Tuấn SVTH: Nguyễn Thành Vinh - Lê Văn Thương CHƯƠNG KẾT LUẬN & HƯỚNG PHÁT TRIỂN 79 Chương 5: Kết luận & Hướng phát triển Khóa luận đề cập đến vấn đề quản lý, bảo vệ liệu thiết bị trước nguy tội phạm an ninh thông tin Trong phần này, tác giả xin tổng kết khóa luận, đóng góp đưa hướng phát triển đề tài 5.1 Kết luận Khóa luận thực sau trình nghiên cứu khảo sát mức độ quan trọng liệu điện thoại di động tương quan với tình hình an tồn thơng tin; nghiên cứu đặc tính sản phẩm an tồn thực tìm hiểu chuyên sâu hệ điều hành Android Android forensics Thơng qua nghiên cứu tìm hiểu đó, khóa luận thiết kế, phát triển thành công hệ thống quản lý bảo mật TUI Security giải hoàn toàn năm vấn đề đặt chương Theo đó, khóa luận cho biết cách thức nhận dạng thiết bị điện thoại di động mã PIN số IMEI thiết bị cách để vơ hiệu hóa chúng Tuy nhiên, khóa luận nhận việc vơ hiệu hóa vật lý phức tạp khơng khả thi Vì vậy, tác giả đề xuất cần có hệ thống điều khiển, vơ hiệu hóa từ xa để bảo vệ liệu thiết bị Hơn nữa, hệ thống lấy thơng tin chủ th bao sử dụng thiết bị liệu quan trọng thiết bị tin nhắn khai thác liệu Thơng qua đó, người sử dụng biết sử dụng thiết bị sử dụng Điều khơng có ích cho người dùng q trình tìm kiếm thiết bị mà cịn giúp ích cho quan pháp chứng trình điều tra, nhà nghiên cứu lĩnh vực mobile forensics Tiếp tục, khóa luận nguy bảo mật nghiêm trọng thiết bị rooted Qua đó, khóa luận đưa lời khuyên cho người dùng cân nhắc trước thực rooting thiết bị Nếu bạn quản GVHD: TS Nguyễn Anh Tuấn SVTH: Nguyễn Thành Vinh - Lê Văn Thương CHƯƠNG KẾT LUẬN & HƯỚNG PHÁT TRIỂN 80 lý thiết bị bạn khơng nên rooting Ngược lại, bạn rooting thiết bị cần thiết phải cài đặt phần mềm quản lý bảo mật nhằm đảm bảo liệu thiết bị bạn an toàn Hơn nữa, điều cịn giúp ích cho quan pháp chứng trình điều tra thiết bị bạn Ngồi ra, khóa luận tìm hiểu tổng hợp nghiên cứu giới đặc tính sản phẩm an tồn IN SAFE HANDS Việc làm góp phần xây dựng nên sở lý thuyết cho định hình phát triển tính cần thiết hệ thống quản lý bảo mật tốt Tóm lại, khóa luận phát triển thành công hệ thống quản lý bảo mật TUI Security nhằm: bảo vệ liệu, thiết bị; cảnh báo nguy trộm chống trộm; tìm kiếm thiết bị; khai thác thơng tin phục vụ công tác điều tra Hệ thống xây dựng hoạt động tốt thiết thực môi trường thực tiễn Việt Nam Tác giả tin tưởng với đóng góp mình, khóa luận góp phần tích cực cơng tác bảo vệ liệu thiết bị người dùng, cơng tác phân tích điều tra tội phạm quan pháp chứng đồng thời đưa nhìn sâu vấn đề Android forensics 5.2 Hướng phát triển Thế hệ hệ điều hành mở máy tính để bàn hay máy tính lớn (mainframe) mà thiết bị di động sử dụng ngày Chính mở mơi trường dẫn đến ứng dụng phát triển nhanh chóng cho phép tích hợp với dịch vụ trực tuyến có [9] Khi mà tầm quan trọng liệu dịch vụ thiết bị di động hỗ trợ ngày tăng, hội cho tội phạm ngày lớn Chính thế, giải pháp hệ thống quản lý bảo mật toàn diện ứng dụng cần thiết phải cài đặt thiết bị Hiện nhiều thách thức vấn đề an ninh bảo mật ứng dụng từ khía cạnh người dùng số vấn đề mobile forensics khác Trong phần này, tác giả thảo luận số thách thức định hướng tính hệ thống TUI Security 5.2.1 Các vấn đề an ninh bảo mật Như đề cập phần trên, việc bảo mật liệu khía cạnh người dùng vấn đề mobile forensics chưa đề cập khóa luận Hệ thống GVHD: TS Nguyễn Anh Tuấn SVTH: Nguyễn Thành Vinh - Lê Văn Thương CHƯƠNG KẾT LUẬN & HƯỚNG PHÁT TRIỂN 81 phát triển có số nỗ lực cơng tác phân tích điều tra tội phạm cách cho phép người sử dụng quan pháp chứng khai thác liệu nhạy cảm thiết bị trộm cắp, thất lạc Tuy nhiên, vấn đề đặt người dùng nhu cầu sử dụng tính (vì lo sợ liệu bị truy xuất mà khơng thể kiểm sốt); trường hợp tội phạm lợi dụng hệ thống để trộm cắp liệu người dùng hợp pháp Như trình bày chương trước, hệ thống thiết kế thực thi yêu cầu quản trị hệ thống quản trị ứng dụng, cụ thể: Hệ thống quản lý người sử dụng tài khoản đăng nhập, người dùng quản lý ứng dụng mã PIN xác nhận; người dùng quản lý quyền hạn phạm vi ảnh hưởng ứng dụng Ứng dụng chia nhỏ thành cụm chức riêng biệt Người dùng kích hoạt vơ hiệu hóa cụm chức an tồn, nhanh chóng Tuy vậy, vấn đề an ninh bảo mật chưa giải cách triệt để Người dùng biết đọc thông tin thiết bị mình, liệu bị lấy Vì tương lai, tác giả phát triển tính ghi nhật ký tất hành vi hệ thống thiết bị để người dùng kiểm sốt hoạt động từ ứng dụng 5.2.2 Theo dõi mạng lưới hoạt động tội phạm Trong trình sử dụng thiết bị trộm cắp, tội phạm liên lạc với đồng bọn chúng Những kết nối thường xuyên tất kết nối cịn lại Do tương lai, bên cạnh tính lấy liệu thơng qua tin nhắn điều khiển, ứng dụng cho phép phân tích hành vi người dùng, đưa ngữ cảnh người dùng kết nối thường xuyên Qua đó, ứng dụng tự động theo dõi kết nối gửi thông báo theo định kỳ email cài đặt trước 5.2.3 Phục hồi liệu bị xóa Trong lĩnh vực mobile forensics, liệu bị xóa có ý nghĩa hữu ích nhiều so với liệu lưu trữ thiết bị Các liệu tồn phục hồi lại kể chúng bị xóa khỏi thiết bị [12] Một ví dụ cho trường hợp file databases SQLite phân bổ cịn chứa ghi xóa sở liệu (allocated GVHD: TS Nguyễn Anh Tuấn SVTH: Nguyễn Thành Vinh - Lê Văn Thương CHƯƠNG KẾT LUẬN & HƯỚNG PHÁT TRIỂN 82 data).1 Một trường hợp nữa, file systems thường đánh dấu file liệu cờ deleted obsolete, khơng thực xóa file khỏi nhớ không cần thiết (unallocated data).2 Việc phân tích phục hồi liệu thiết bị Android phức tạp đòi hỏi nhiều thời gian nghiên cứu, số sai lầm việc phục hồi làm cho thiết bị hư hỏng Tuy nhiên, với số công cụ kỹ thuật đặc biệt, phục hồi liệu bị xóa Điều có ý nghĩa quan trọng lĩnh vực mobile forensics mà hệ thống cần nghiên cứu tương lai 5.2.4 Một số tính nâng cao Ngồi ra, tương lai hệ thống TUI Security thực thêm số tính nâng cao sau: • Cho phép điều khiển theo dõi thiết bị từ Web Lưu trữ vị trí thiết bị Web Server theo định kỳ định Người dùng truy cập website biết thiết bị di chuyển qua vị trí • Thiết bị tự động bật/tắt GPS để phục vụ tốt cơng tác truy tìm, theo dõi thiết bị • Tính điều khiển thiết bị tự động chụp hình khung cảnh xung quanh trích xuất liệu vừa chụp từ camera người sử dụng • Tính tự động phát cảnh báo thiết bị có nguy bị trộm cắp • Cảnh báo phần mềm gây nguy bảo mật cho thiết bị yêu cầu người dùng gỡ bỏ chúng • Khắc phục hạn chế vần đề sử dụng pin ứng dụng cách giảm thiểu xử lý, cao hiệu ứng dụng Các liệu khơng bị xóa truy cập file system Các file đánh dấu xóa bị lỗi thời GVHD: TS Nguyễn Anh Tuấn SVTH: Nguyễn Thành Vinh - Lê Văn Thương PHỤ LỤC A: THÔNG TIN TÁC GIẢ 83 Phụ lục A Thông tin tác giả Thông tin giảng viên hướng dẫn TS Nguyễn Anh Tuấn Khoa Mạng Máy tính Truyền thơng Trường Đại học Công nghệ Thông tin Km20 Xa lộ Hà Nội, Linh Trung, Thủ Đức, TP Hồ Chí Minh Cell:+84 932215030 Email: tuanna@uit.edu.vn Website: uit.edu.vn/~tuanna Thông tin sinh viên thực Lê Văn Thương Sinh viên khóa 2008-2012 – Đại học Công nghệ Thông tin - ĐH QG TPHCM Email: thuongle.it@gmail.com Điện thoại: 0979150964 Website: http://tuisolutions.com.vn Nguyễn Thành Vinh Sinh viên khóa 2008-2012 – Đại học Cơng nghệ Thơng tin - ĐH QG TPHCM Email: nguyenthanhvinh.uit@gmail.com Điện thoại: 01217710002 Website: http://tuisolutions.com.vn SVTH: Nguyễn Thành Vinh - Lê Văn Thương GVHD: TS Nguyễn Anh Tuấn PHỤ LỤC B: LẬP TRÌNH DƯỚI QUYỀN ROOT USER 84 Phụ lục B Lập trình quyền root user Như trình bày phần 2.6.3, đặt quyền root hệ điều hành, khai thác liệu ứng dụng Mọi hành vi cần sử dụng quyền root khai báo mảng commands thực thi phương thức runAsRoot(String[] commands) bảng Listing 1: Run commands as root user public static void runAsRoot ( String [] commands ) throws Exception { Process p = Runtime getRuntime () exec ( " su " ) ; DataOutputStream os = new DataOutputStream ( p getOutputStream () ) ; for ( String cmd : commands ) { os writeBytes ( cmd + " \ n " ) ; } os writeBytes ( " exit \ n " ) ; 10 os flush () ; os close () ; 11 12 } p waitFor () ; GVHD: TS Nguyễn Anh Tuấn SVTH: Nguyễn Thành Vinh - Lê Văn Thương PHỤ LỤC B: LẬP TRÌNH DƯỚI QUYỀN ROOT USER 85 Một số commands sử dụng root user tiêu biểu mà chương trình TUI Security sử dụng Listing 2: Khai thác databases ứng dụng Facebook String [] commands = new String [] { " sysrw " , " cat ␣ / data / data / com facebook katana / databases / fb db ␣ >␣ " + fileOutPath , " sysro " }; Listing 3: Xóa bỏ databases ứng dụng Facebook String [] commands = new String [] { " sysrw " , " rm ␣ / data / data / com facebook katana / databases / fb db " , " sysro " }; Listing 4: Reboot thiết bị String [] commands = { " -c " , " busybox ␣ killall ␣ system_server " }; Listing 5: Chuyển đổi user app thành system app private static void copyToSystemApp ( String apkFile ) throws IOException , InterruptedException { /* * Change mode / system to write permision And then , copy ( by cat * command ) apk file from / data / app to / system / app Last , * we need delete apk file at / data / app and reboot device */ String [] commands = { " sysrw " , " mount ␣ -o ␣ remount ␣ rw ␣ / system / " , // Change pemission " / system / bin / cat ␣ " + " / data / app / " + apkFile + " ␣ >␣ / system / app / " + apkFile , // Copy file 10 11 " sysro " }; runAsRoot ( commands ) ; 12 } GVHD: TS Nguyễn Anh Tuấn SVTH: Nguyễn Thành Vinh - Lê Văn Thương PHỤ LỤC C: TUI SECURITY ANDROID MANIFEST 86 Phụ lục C TUI Security Android Manifest Mỗi ứng dụng cần có AndroidManifest.xml để mơ tả thơng tin quan trọng cho hệ thống Android biết Cụ thể cơng việc mà AndroidManifest.xml thực hiện: • Đặt tên cho Java package ứng dụng • Mơ tả thành phần (component) ứng dụng: activity, service, broad- cast receiver content provider • Thơng báo permission mà ứng dụng cần có để truy nhập pro- tected API tương tác với ứng dụng khác • Thông báo permission mà ứng dụng khác cần có để tương tác với ứng dụng thời • Thông báo level thấp Android API mà ứng dụng tương thích • Liệt kê lớp Instrumentation cung cấp cấu hình thơng tin cần thiết ứng dụng chạy, cho phép giám sát tất tương tác hệ thống với ứng dụng • Liệt kê thư viện mà ứng dụng liên kết Một ứng dụng Android mặc định khơng có quyền hạn liên kết nào, có nghĩa khơng thể làm điều gây bất lợi đến trải nghiệm người dùng liệu thiết bị Để sử dụng tính bảo mật thiết bị, cần phải khai báo hay nhiều tag file AndroidManifest.xml để khai báo quyền hạn mà ứng dụng cần Tại thời điểm cài đặt, yêu cầu quyền hạn ứng dụng cấp trình cài đặt, phụ thuộc vào trình kiểm tra chữ ký ứng dụng GVHD: TS Nguyễn Anh Tuấn SVTH: Nguyễn Thành Vinh - Lê Văn Thương PHỤ LỤC C: TUI SECURITY ANDROID MANIFEST 87 đồng ý người sử dụng Khơng có kiểm tra với người sử dụng thực ứng dụng chạy: ứng dụng, cấp phép đặc biệt cài đặt sử dụng tính mong muốn, quyền hạn không thực thi nỗ lực để sử dụng tính thất bại mà khơng có động thái nhắc nhở người sử dụng Một ví dụ khai báo ứng dụng yêu cầu quyền nhận tin nhắn SMS (bảng 6) Listing 6: TUI Security AndroidManifest.xml < manifest xmlns : android = " http :// schemas android com / apk / res / android " < uses - permission android : name = " android permission RECEIVE_SMS " / > Đối với ứng dụng TUI Security: Vì ứng dụng quản lý bảo mật, nên TUI Security yêu cầu người dùng cho phép nhiều quyền hạn để ứng dụng hoạt động, can thiệp sâu đến liệu thiết bị (bảng 7) Listing 7: TUI Security AndroidManifest.xml android : name = " android permission CHANGE_NETWORK_STATE " android : name = " android permission RECEIVE_SMS " android : name = " android permission SEND_SMS " android : name = " android permission READ_SMS " android : name = " android permission READ_PHONE_STATE " android : name = " android permission WRITE_CONTACTS " android : name = " android permission READ_CONTACTS " android : name = " android permission WRITE_SMS " android : name = " android permission WR IT E_E XTE RN AL_ ST ORA GE " 10 11 android : name = " android permission MO U N T _ U N M O U NT _ F I L E S Y S T E MS " android : name = " android permission M O U NT _ F OR M A T_ F I LE S Y ST E M S " 12 13 android : name = " android permission INTERNET " android : name = " android permission WRITE_SETTINGS " 14 15 16 android : name = " android permission ACCESS_NETWORK_STATE " android : name = " android permission ACCESS_MOCK_LOCATION " android : name = " android permission INTERNET " 17 18 android : name = " android permission RE CE IVE _BO OT _CO MP LET ED " android : name = " android permission DISABLE_KEYGUARD " 19 20 android : name = " android permission INTERNET " android : name = " android permission ACCESS_FINE_LOCATION " 21 android : name = " android permission AC CE SS_ COA RS E_L OC ATI ON " GVHD: TS Nguyễn Anh Tuấn SVTH: Nguyễn Thành Vinh - Lê Văn Thương TÀI LIỆU THAM KHẢO 88 Tài liệu tham khảo [1] M Allen A day in the life of mobile data, 2005 URL http://www.bcs org/content/conWebDoc/2774 [Online; accessed 01-Feb-2013] ii [2] Open Handset Alliance Android, 2012 URL http://www openhandsetalliance.com/android_overview.html [Online; accessed 16-Feb-2013] 15 [3] N L Clarke and S M Furnell Authentication of users on mobile telephones - A survey of attitudes and practices Computers & Security, 24(7):519– 527, October 2005 doi: 10.1016/j.cose.2005.08.003 URL http://dx.doi org/10.1016/j.cose.2005.08.003 18 [4] R.V.G Clarke, Development Great Britain Home Office Research, Statistics Directorate Policing, and Reducing Crime Unit Hot Products: Understanding, Anticipating and Reducing Demand for Stolen Goods Police research series Home Office, Policing and Reducing Crime Unit, 1999 ISBN 9781840822786 URL http://books.google.com.vn/books?id= -iEEAQAAIAAJ 8, [5] L.E Cohen and M Felson Social Change and Crime Rate Trends: Routine Activity Approach Program in applied social statistics Department of Sociology, University of Illinois at Urbana-Champaign, 1977 URL http: //books.google.com.vn/books?id=MUr0tgAACAAJ [6] International Data Corporation Android marks fourth anniversary since launch with 75.0in third quarter, 2012 URL http://www.idc.com/ getdoc.jsp?containerId=prUS23771812#.UTCuaaLLo40 [Online; accessed 16-Feb-2013] 15 [7] International Data Corporation Worldwide mobile phone market maintains its growth trajectory in the fourth quarter despite soft demand for feature phones, 2012 URL http://www.idc.com/getdoc.jsp?containerId= prUS23297412#.UTDHlKLLo41 [Online; accessed 16-Feb-2013] GVHD: TS Nguyễn Anh Tuấn SVTH: Nguyễn Thành Vinh - Lê Văn Thương TÀI LIỆU THAM KHẢO 89 [8] Alliance Against Crime Design Out Crime Design Council, 2011 URL http://www.designcouncil.org.uk/our-work/challenges/ security/design-out-crime/ ii, [9] William Enck, Machigar Ongtang, and Patrick McDaniel Understanding android security IEEE Security and Privacy, 7(1):50–57, January 2009 ISSN 1540-7993 doi: 10.1109/MSP.2009.26 URL http://dx.doi.org/ 10.1109/MSP.2009.26 80 [10] Linda Geddes The pocket spy: Will your smartphone rat you out? New Scientist Magazine, 2730:34–37, October 17, 2009 URL http://www.newscientist.com/article/mg20427301 100-the-pocket-spy-will-your-smartphone-rat-you-out.html ii [11] V Harrington, P Mayhew, Development Great Britain Home Office Research, and Statistics Directorate Mobile Phone Theft Home Office research study Home Office, 2001 ISBN 9781840827743 URL http: //books.google.com.vn/books?id=HYX5PQAACAAJ 18 [12] A Hoog Android Forensics: Investigation, Analysis and Mobile Security for Google Android Forensics 2011 Elsevier Science, 2011 ISBN 9781597496513 URL http://books.google.com.vn/books?id= zDibrpXTfxMC 6, 7, 22, 23, 81 [13] Culture Label Mighty mobile![infographic], 2012 URL http://www culturelabel.com/blog/2012/02/24/mighty-mobile [Online; accessed 20-Feb-2013] [14] Neal Leavitt Mobile phones: The next frontier for hackers? Computer, 38 (4):20–23, April 2005 ISSN 0018-9162 doi: 10.1109/MC.2005.134 URL http://dx.doi.org/10.1109/MC.2005.134 [15] Jeff Lessard and Gary C Kessler Android forensics: Simplifying cell phone examinations Digital Investigation, 7(1):74–82, 2010 Small Scale Digital Device Forensics Journal ii, 23 [16] London-Taxi Lost property, 2013 URL http://london-taxi.co.uk/ ?page_id=23 [Online; accessed 16-Feb-2013] 18 [17] MobiThinking Global mobile statistics 2011: all quality mobile marketing research, mobile web stats, subscribers, ad revenue, usage, trends, GVHD: TS Nguyễn Anh Tuấn SVTH: Nguyễn Thành Vinh - Lê Văn Thương TÀI LIỆU THAM KHẢO 90 2012 URL http://mobithinking.com/mobile-marketing-tools/ latest-mobile-stats [Online; accessed 20-Feb-2013] [18] Hanna Mohamad Background paper: Mobile phone crime Technical report, Attorney General & Justice, NSW Government, 2011 URL http://www.crimeprevention.nsw.gov.au ii [19] Android Offical Google play hits 25 billion downloads, 2012 URL http://officialandroid.blogspot.ca/2012/09/ google-play-hits-25-billion-downloads.html [Online; accessed 16-Feb-2013] 15 [20] Portio Research Portio Research Mobile Factbook 2012, 2012 URL http://www.portioresearch.com/media/1797/Mobile%20Factbook% 202012.pdf [21] Sybase Mobility advantage: Why secure your mobile devices?, 2011 URL http://www.sybase.com/files/White_Papers/Sybase_ Afaria_WhySecurity_wp.pdf Online; accessed 01-Mar-2013 [22] H Victor Android steals symbian’s top smartphone os crown, 2011 URL http://www.phonearena.com/news/ Android-steals-Symbians-Top-Smartphone-OS-crown_id16332 [Online; accessed 16-Feb-2013] 15 [23] Shaun Whitehead, Jen Mailley, Ian Storer, John McCardle, George Torrens, and Graham Farrell In safe hands: A review of mobile phone anti-theft designs European Journal on Criminal Policy and Research, 14:39–60, 2008 doi: 10.1007/s10610-007-9040-9 3, [24] Wikipedia Android (operating system), 2013 URL http://en wikipedia.org/wiki/Android_(operating_system) [Online; accessed 16-Feb-2013] 15 GVHD: TS Nguyễn Anh Tuấn SVTH: Nguyễn Thành Vinh - Lê Văn Thương