ĐẠI HỌC QUỐC GIA TP HCM TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN Họ tên NCS: NGUYỄN TẤN CẦM ĐỀ CƯƠNG NGHIÊN CỨU ĐỀ TÀI LUẬN ÁN TIẾN SĨ Tên đề tài: Đánh giá an toàn thông tin thiết bị Android theo cách tiếp cận phân tích liên ứng dụng Chuyên ngành: Công nghệ thông tin Mã số: 62 48 02 01 Cán hướng dẫn: TS Nguyễn Anh Tuấn TS Phạm Văn Hậu Tp Hồ Chí Minh, tháng 10/2015 Mục lục Giới thiệu tổng quan 1.1 Đặt vấn đề 1.2 Tổng quan trình phát malware Android 10 1.2.1 Các kỹ thuật phân tích malware (Type of dectection) 12 1.2.2 Các loại liệu nguồn dùng để phân tích (điểm quan sát) 17 1.2.3 Phạm vi phân tích (Scope of analysis) 23 1.2.4 Loại nhận diện (Type of identification) 24 1.2.5 Môi trường triển khai (Deployment Platform) 28 Lý thực nghiên cứu 31 2.1 Lý chọn lĩnh vực nghiên cứu 31 2.1.1 Động lực nghiên cứu 31 2.1.2 Các công trình liên quan 32 2.2 Mục tiêu mong muốn đạt 45 2.3 Lý chọn sở đào tạo 46 2.4 Kinh nghiệm, kiến thức liên quan đến lĩnh vực dự định nghiên cứu 46 2.5 Dự kiến việc làm sau tốt nghiệp: 46 2.6 Đề xuất người hướng dẫn 46 Mục đích nghiên cứu luận án 46 3.1 Tính cấp thiết 46 3.2 Ý nghĩa thực tiễn đề tài 47 Đối tượng nghiên cứu 47 Các phương pháp nghiên cứu 47 5.1 Câu hỏi nghiên cứu 47 5.2 Mô hình đề xuất 48 5.3 Các công cụ sử dụng 49 5.4 Dữ liệu thử nghiệm 50 Nội dung phạm vi vấn đề sâu giải 50 Nơi thực đề tài nghiên cứu luận án 50 Dự kiến sơ tiến độ thực đề tài nghiên cứu 51 Tài liệu tham khảo 52 Danh mục hình Hình 1: Số lượng thiết bị bán theo thời gian Hình 2: Thống kê thị phần hệ điều hành sử dụng Hình 3: Đặc điểm kỹ thuật phát malware 12 Hình 4: Các loại nhận dạng 13 Hình 5: Cấu trúc tập tin apk 13 Hình 6: Quá trình phân tích tĩnh 14 Hình 7: Quá trình phân tích động TaintDroid 15 Hình 8: Các lớp kiến trúc hệ điều hành Android 15 Hình 9: Quá trình phân tích tổng hợp AASandBox 17 Hình 10: Loại liệu thu thập 17 Hình 11: Ví dụ tập tin AndroidManifest.xml 18 Hình 12: Mô hình Enclamald 20 Hình 13: Mô hình đề xuất việc phân tích mạng 21 Hình 14: Các phạm vi phân tích 23 Hình 15: Phạm vi phân tích 23 Hình 16: Loại nhận diện 24 Hình 17: Mô hình hoạt động Juxtapp 26 Hình 18: Mô hình phân tích malware DroidAnalytics 27 Hình 19: Môi trường triển khai 28 Hình 20: Ví dụ nguy rò rỉ thông tin qua nhiều ứng dụng 32 Hình 21: Các cấp theo dõi thông tin 33 Hình 22: Kiến trúc TaintDroid 34 Hình 23: Mô hình FlowDroid 35 Hình 24: Ví dụ loại Potential Component Leaks, (B) PPCL (C) PACL 35 Hình 25: Quá trình xử lý PCLeaks pcLeaksValidator 36 Hình 26: Kỹ thuật phát hành vi nhạy cảm SmartDroid 37 Hình 27: Kiến trúc SmartDroid 38 Hình 28: Kiến trúc tổng quan AppsPlayGround 39 Hình 29: Giao tiếp hai Components thông qua Intent Intent Filter 40 Hình 30: Sơ đồ hoạt động Epicc 40 Hình 31: Sự kết hợp FlowDroid Epicc DidFail 40 Hình 32: Giao tiếp component 41 Hình 33: Mô hình Amandroid 41 Hình 34: Kiến trúc XManDroid 42 Hình 35: Mô hình IccTA 43 Hình 36: Giai đoạn gom hai tập tin apk thành tập tin apk ApkCombiner 44 Hình 37: Xu nghiên cứu ICC 44 Hình 38: Các nghiên cứu dẫn đến hướng IAC 45 Hình 39: Giao tiếp nhiều ứng dụng 48 Hình 40: Sơ đồ hệ thống đề xuất 48 Hình 41: Một ví dụ cho việc tồn luồng thông tin từ source nhạy cảm đến sink nguy hiểm 49 Danh mục bang biểụ Bảng 1: Số malware năm 2013 Bảng 2: Nhóm hành vi công điện thoại thông minh Bảng 3: Thống kê tỷ lệ nhóm hành vi công điện thoại thông minh hai năm 2013 2014 Bảng 4: Ưu nhược điểm loại liệu nguồn dùng để phân tích 22 Bảng 5: Ưu nhược điểm loại nhận diện 27 Bảng 6: Ưu nhược điểm môi trường triển khai 29 Bảng 7: Thống kê nghiên cứu 29 Bảng 8: Thống kê loại ICC thường dùng 42 Bảng 9: Các công việc IccTA 43 Bảng 10: Danh sách người hướng dẫn 46 Bảng 11 Bảng dự kiến tiến độ thực đề tài nghiên cứu 51 Giới thiệu tổng quan 1.1 Đặt vấn đề Theo thống kê Gartner [1], số lượng thiết bị điện tử có sử dụng hệ điều hành bán năm 2014 2015 đạt gần 2,5 tỷ thiết bị Trong điện thoại thông minh chiếm gần hai tỷ thiết bị, tức chiếm 77% tổng số lượng thiết bị Mức tăng trưởng thiết bị điện thoại thông minh có xu hướng tăng Số lượng thiết bị bán (đơn vị: triệu) 2000 1,969 1,906 1,838 1800 1600 1400 1200 1000 800 600 400 333 321 318 259 233 216 200 11 2014 2015 2016 PC Tablets Mobile Phones Khác Linear (Mobile Phones) Hình 1: Số lượng thiết bị bán theo thời gian Theo thống kê dự báo Gartner, hệ điều hành Android hệ điều hành sử dụng phổ biến Trong năm 2014, số thiết bị sử dụng hệ điều hành Android bán chiếm 48,6% Và dự kiến tỷ lệ tăng vào năm 2015 2016 Thống kê số thiết bị bán với hệ điều hành tương ứng (Đơn vị tính: nghìn) 1,800,000 1,619,030 1,600,000 1,454,760 1,400,000 1,200,000 1,156,111 1,000,000 800,000 626,358 600,000 400,000 333,017 262,615 380,545 355,035 279,415 393,256 298,896 261,155 200,000 2014 2015 Android iOS/Mac OS Khác Linear (Android) 2016 Windows Hình 2: Thống kê thị phần hệ điều hành sử dụng Theo thống kê F-Secure [2] năm 2013 có 99% malware nhắm vào mục tiêu hệ điều hành Android Bảng 1: Số malware năm 2013 Hệ điều hành mục tiêu Số biến thể Android 275 iPhone Symbian Theo thống kê Symantec [3], năm 2014 có 94% malware nhắm vào hệ điều hành Android Do đặc tính cấu hình mục đích sử dụng điện thoại thông minh khác với máy tính truyền thống nên hành vi công phần mềm độc hại điện thoại thông minh máy tính truyền thống có nhiều khác biệt Bảng mô tả nhóm hành vi công phần mềm độc hại điện thoại thông minh Bảng 2: Nhóm hành vi công điện thoại thông minh Nhóm hành vi Steals device data Spies on user Sends premium SMSs Downloader Back door Tracks location Modifies settings Spam Steals media Elevates privileges Banking Trojan SEO poisoning Adware/ Annoyance DDOS Utility Hacktool Mô tả Thu thập thông tin thiết bị, mã số IMEI IMSI Thông tin hệ điều hành thông tin cấu hình điện thoại Cố tình thu thập thông tin thiết bị để theo dõi người dùng, ví dụ: thu thập nhật ký gọi, nội dung tin nhắn SMS gởi đến cho máy chủ Internet Gởi tin nhắn đến tổng đài tính phí để tính phí tin nhắn Có thể tải thành phần nguy hiểm khác từ Internet lên thiết bị nạn nhân Cho phép kẻ công giao tiếp điều khiển thiết bị nạn nhân từ xa Thu thập thông tin GPS để theo dõi vị trí nạn nhân Thay đổi thông tin cấu hình thiết bị nạn nhân Gởi hàng loạt email tin nhắn đến thiết bị nạn nhân Gởi nội dung số, ví dụ: ảnh, phim đến máy chủ mạng Tìm cách gán thêm quyền cho ứng dụng nhiều so với quyền mà người dùng nhìn thấy cài đặt ứng dụng Theo dõi giao dịch ngân hàng thiết bị, lấy cắp thông tin nhạy cảm thực hành vi nguy hiểm liên quan Truy cập đến địa URL Internet nhằm làm tăng thứ hạng trang web có URL Quảng bá thông tin quảng cáo đến người dùng Tấn công từ chối dịch vụ Kẻ công dùng thiết bị nạn nhân việc công mạng, chí lấy thông tin thiết bị nạn nhân Theo thống kê Symantec [3] nhóm hành vi đánh cắp thông tin thiết bị theo dõi người dùng chiếm tỷ lệ cao với 36% Bảng 3: Thống kê tỷ lệ nhóm hành vi công điện thoại thông minh hai năm 2013 2014 Nhóm hành vi Tỷ lệ năm 2014 Tỷ lệ năm 2013 Steals Device Data 36% 17% Spies On User 36% 28% Sends Premium SMS 16% 5% Downloader 18% 8% Back door 18% 12% Tracks Location 9% 3% Modifies Settings 20% 8% Spam 7% 3% Steals Media 0% 3% Elevates Privileges 7% 2% Banking Trojan 7% 3% SEO Poisoning 0% 0% Adware/ Annoyance 13% 9% DDOS Utility 0% 0% Hacktool 0% 0% Như vậy, nguy bảo mật thiết bị điện thoại thông minh sử dụng hệ điều hành Android ảnh hưởng đến nhiều người dùng giới Việc nghiên cứu bảo mật điện thoại thông minh nói chung điện thoại thông minh sử dụng hệ điều hành Android trở nên cấp thiết 1.2 Tổng quan trình phát malware Android Quá trình phát malware bao gồm nhiều giai đoạn thu thập liệu, phân tích nhận diện Thu thập liệu trình thu thập thông tin liên quan đến ứng dụng phân tích Dữ liệu thu thập bao gồm: thông tin từ gói ứng dụng, thông tin liên quan đến hành vi hoạt động ứng dụng Dữ liệu thành phần quan trọng việc phân tích nhận diện xem ứng dụng có phải malware hay không Để thu thập liệu liên quan ta dùng số công cụ để giải nén tập tin apk apktool Kế đến ta viết chương trình rút trích thông tin liên quan đến liệu sau giải nén như: AndroidManifest, tập tin java… Hoặc cho chạy ứng dụng ghi lại thông tin liên quan như: lệnh hệ thống sử dụng trình chạy, lưu lượng gói tin mạng… Quá trình phân tích trình xử lý liệu thu thập bước thu thập liệu để làm đầu vào cho trình nhận diện phía 10 (2.3) bước so khớp ICC method với target component thông qua intent intent filter Lưu ICC links vào DataBase (bao gồm: Tham số ICC calls, giá trị Intent filter) (4.1) chèn trực tiếp vào code jimple để thực phân tích data flow components (4.2) dùng FlowDroid để tạo CFG toàn ứng dụng Cho phép thiết lập nên ngữ cảnh (values intents) components Lưu Taint Paths vào DataBase Đóng góp IccTA bước (2) (4) Hướng tiếp cận mở rộng để phận tích CFG nhiều ứng dụng Tuy nhiên nghiên cứu tác nhóm tác giả chưa thử nghiệm việc phân tích nhiều ứng dụng ApkCombiner [65] Li đồng phát triển từ IccTA nhằm thực phân tích nhiều ứng dụng Tuy nhiên, ApkCombiner thực phân tích nhiều ứng dụng cách gom hai tập tin apk thành tập tin apk mới, từ phân tích tập tin apk Phương pháp tốn nhiều thời gian số lượng tập tin apk cần phân tích lớn Hình 36: Giai đoạn gom hai tập tin apk thành tập tin apk ApkCombiner Tóm lại, hướng nghiên cứu phân tích rò rỉ thông tin ICC hướng nghiên cứu quan tâm nhiều Có nhiều công trình liên quan đến hướng nghiên cứu Hướng nghiên cứu phát triển thành hướng nghiên cứu rò rỉ thông tin nhiều ứng dụng (Inter Application Communication - IAC) Hiện có số nghiên cứu theo hướng IAC [12, 13, 65], nhiên nghiên cứu nói lên khả áp dụng ICC IAC nhiều hạn chế việc phân tích số lượng nhiều ứng dụng apk Luồng thông tin Component Luồng thông tin Components (ICC) Hình 37: Xu nghiên cứu ICC 44 Luồng thông tin nhiều Applications (IAC) Phân tích nguy bảo mật firmware đề cập nghiên cứu [52, 66] Tuy nhiên nghiên cứu dừng lại mức phân tích ứng dụng đơn Nên không phát trường hợp rò rỉ thông tin qua nhiều ứng dụng khác Dare (2012) Soot (2000) Heros (2012) Epicc (2013) Amandroid (2014) FlowDroid (2014) DidFaid (2014) SuSi (2014) PcLeaks (2014) IC3 (2015) ApkCombiner (2015) IccTA (2015) Hình 38: Các nghiên cứu dẫn đến hướng IAC Tóm lại, từ nghiên cứu cho thấy nghiên cứu liên ứng dụng hướng nghiên cứu mở nhiều ứng dụng việc đánh giá bảo mật, tăng tính bảo mật cho thiết bị di động Góp phần giải hạn chế phương pháp phân tích ứng dụng đơn 2.2 Mục tiêu mong muốn đạt Mục tiêu luận án xây dựng giải pháp phát nguy bảo mật liên ứng dụng thiết bị di động sử dụng hệ điều hành nguồn mở Android cạnh đóng góp thêm nhóm ứng dụng dùng cho thử nghiệm liên quan đến IAC để bổ sung vào liệu thử nghiệm có Để đạt mục tiêu này, luận án tập trung vào ba mục tiêu cụ thể sau đây: Mục tiêu 1: Dùng kỹ thuật phân tích động kết hợp với phân tích tĩnh việc phân tích rò rỉ thông tin nhiều ứng dụng 45 Mục tiêu 2: Phát triển kỹ thuật phát nguy bảo mật thiết bị di động sử dụng hệ điều hành Android cách phân tích liên ứng dụng Mục tiêu 3: Phát triển kỹ thuật đánh giá nguy bảo mật firmware thiết bị di động 2.3 Lý chọn sở đào tạo Trường Đại học công nghệ thông tin trường có uy tín cao việc đào tạo nghiên cứu lĩnh vực công nghệ thông tin mà đặc biệt an toàn thông tin Trường Đại học Công nghệ thông tin nơi có nhiều giảng viên giỏi, người giúp ích nhiều cho nghiên cứu sinh việc học tập nghiên cứu 2.4 Kinh nghiệm, kiến thức liên qụan đến lĩnh vực dự định nghiên cứu Thí sinh tham gia nhóm nghiên cứu nghiên cứu khoa học thuộc Bộ môn Mạng máy tính Viễn thông, Đại học Khoa học Tự nhiên TPHCM từ năm 2008 Thí sinh tham gia đề tài nghiên cứu nhận dạng malware 2.5 Dự kiến việc làm sau tốt nghiệp: Giảng viên CNTT 2.6 Đề xuất người hướng dẫn Bảng 10: Danh sách người hướng dẫn STT Cơ quan công tác Đại học CNTT Đại học CNTT Họ tên TS Nguyễn Anh Tuấn TS Phạm Văn Hậu Mục đích nghiên cứu luận án 3.1 Tính cấp thiết Trong tương lai gần, số lượng thiết bị di động ngày tăng [1] Việc đảm bảo an toàn cho người dùng thiết bị di động vấn đề cấp thiết Các malware hệ điều hành Android ngày nhiều thông minh [67] Xu công kỹ thuật leo thang quyền hạn ngày sử dụng nhiều Các nghiên cứu thường tập trung vào việc phân tích ứng dụng riêng lẻ nên bỏ qua nhiều nguy bảo mật mang tính liên ứng dụng Việc phân tích nguy bảo mật mức liên ứng dụng trở nên cấp thiết 46 3.2 Ý nghĩa thực tiễn đề tài Hướng nghiên cứu tạo giải pháp tăng cường độ xác việc phát lỗ hổng bảo mật mức liên ứng dụng - - Ứng dụng hướng tiếp cận cho việc đánh giá độ an toàn firmware trước người dùng cài đặt thiết bị họ Xây dựng chế cho phép người dùng thấy trước nguy bảo mật người dùng gặp phải cài thêm một vài ứng dụng vào thiết bị di động họ Từ tranh nguy bảo mật giúp họ định cài đặt phần mềm hay không Xây dựng giải pháp cho phép gom nhóm tập ứng dụng kho ứng dụng Google thành nhóm mà ứng dụng nhóm cài thiết bị gây nguy bảo mật Có thể áp dụng kết đề tài vào thực tế Đối tượng nghiên cứu - - - - Hệ điều hành di động ưu tiên sử dụng trình nghiên cứu hệ điều hành Android, hệ điều hành di động sử dụng phổ biến [1] Phương pháp phát malware dựa vào việc phân tích kênh truyền thông nhiều ứng dụng (Inter-Apps Communication): Intent Intent filter, đọc ghi tập tin chia sẻ, dùng chung sở liệu SQLite Firmware: Đánh giá nguy bảo mật firmware dựa vào việc phân tích liên ứng dụng Android Apps Market: Gom nhóm ứng dụng trang cung cấp phần mềm (Google Play) thành nhóm mà ứng dụng nhóm có kênh truyền thông gây nguy bảo mật Môi trường triển khai: triển khai tảng Cloud Các phương pháp nghiên cứu 5.1 Câu hỏi nghiên cứu Q1: Các hành vi nguy hiểm thường thực thi ứng dụng đơn, có tồn hành vi nguy hiểm thực nhóm nhiều ứng dụng hay không? Theo Kirin [9] ứng dụng bị đánh giá có hành vi nguy hiểm tồn tập quyền hỗ trợ khả làm rò rĩ thông tin nhạy cảm Ví dụ: Nếu tồn quyền PROCESS_OUTGOING_CALL, RECORD_AUDIO INTERNET ứng dụng, ứng dụng có mục đích nghe người dùng cách ghi âm gởi thông tin lên Internet Tuy 47 nhiên, thực tế chức nghe triển khai nhiều ứng dụng khác nhau, nơi mà ứng dụng có số quyền Tuy nhiên, tập hợp ứng dụng thực hành vi nguy hiểm phức tạp Inter Apps Communication App A PROCESS_OUTGOING_CALL RECORD_AUDIO App B INTERNET Hình 39: Giao tiếp nhiều ứng dụng Q2: Hạn chế phương pháp phân tích malware phạm vi ứng dụng đơn trường hợp hành vi nguy hiểm thực nhóm ứng dụng? Q3: Phân tích bảo mật cách phân tích mối liên hệ nhiều ứng dụng giải hạn chế phương pháp phân tích ứng dụng đơn tại? Q4: Có thể phân tích mối liên hệ nhiều ứng dụng để xác định nguy bảo mật firmware? 5.2 Mô hình đề xuất DB of App1 App1 APK files set App2 Stand alone app analyzer DB of App2 IAC Data Base Builder IAC DB IAC Analyzer DB of AppN AppN Phase Phase Phase Hình 40: Sơ đồ hệ thống đề xuất Để phân tích liên ứng dụng, hệ thống đề xuất thực phân tích với ba giai đoạn: Giai đoạn 1: Phân tích luồng thông tin ứng dụng riêng biệt Dữ liệu đầu giai đoạn liệu tập tin AndroidManifest.xml, danh sách đường từ source đến sink, danh sách entry point exit point 48 ứng dụng Sự khác biệt hướng tiếp cận với DidFail kết hợp phân tích động để định hướng cho việc phân tích tĩnh hiệu Trong DidFail sử dụng phân tích tĩnh so khớp đường từ source đến sink Giai đoạn 2: Tổng hợp sở liệu riêng biệt ứng dụng thành sở liệu chung (IAC DB) Cơ sở liệu đại diện cho mối liên hệ giao tiếp ứng dụng nhóm ứng dụng, ứng dụng thiết bị, ứng dụng Android Application Market Khi có ứng dụng N+1 cần xét, Stand alone app analyzer giai đoạn tạo sở liệu (DB of AppN+1) tương ứng, IAC DataBase Builder giai đoạn tích hợp DB of AppN+1 vào sở liệu chung (IAC DB) Như trình phân tích ứng dụng công việc giai đoạn không nhiều (do phân tích theo kiểu Incremental) Giai đoạn 3: Giai đoạn phân tích dựa vào sở liệu tạo giai đoạn để phát luồng thông tin nhạy cảm rò rỉ qua ứng dụng Dựa vào Entry point Exit point ứng dụng IAC analyzer xác định đường liên thông source nhạy cảm ứng dụng đến sink nguy hiểm ứng dụng khác App1 App2 Sensitive Source Critical Sink IAC Entry Point Exit Point Source Sink Hình 41: Một ví dụ cho việc tồn luồng thông tin từ source nhạy cảm đến sink nguy hiểm IAC cần phân tích Intent - Intent filter, đọc ghi tập tin chia sẻ, dùng chung sở liệu SQLite 5.3 Các công cụ sử dụng Trong giai đoạn 1, sử dụng chỉnh sửa số công cụ cần thiết cho trình thu thập thông tin ứng dụng IC3 [64] dùng để xác định ICC method SuSi [57] dùng để xác định danh sách source sink ứng dụng Chỉnh sửa FlowDroid [10] quản lý việc xác định đối 49 tượng IAC: Intent ID, thông tin đọc ghi lên tập tin chia sẻ, thông tin truy cập sở liệu Phát triển hai công cụ IAC DB Builder IAC Analyzer giai đoạn giai đoạn 5.4 Dữ liệu thử nghiệm Sử dụng hai liệu thử nghiệm dùng cho phân tích ICC phổ biến DroidBench [68] ICC-Bench [69] Bên cạnh dùng tập malware thực dùng thử nghiệm VirusShare [70] Android Malware Genome Project [71] Ngoài ra, có khoảng 1200 ứng dụng tải nhiều thu thập từ Google Play [72] Để phân tích firmware, cần tạo thêm liệu thử nghiệm cách tải firmware từ trang cung cấp firmware [73] Nội dung phạm vi vấn đề sâụ giải Công việc thứ nhất: Xây dựng đồ thị thể luồng liệu qua ứng dụng Xác định nguồn đích luồng liệu Công việc thứ hai: Xây dựng đồ thị thể tính liên thông ứng dụng Công việc thứ ba: Viết nhóm phần mềm có sử dụng kênh giao tiếp liên ứng dụng để bổ sung vào tập liệu mẫu DroidBench ICC-Bench [68] Công việc thứ tư: Xây dựng giải pháp phân tích liên ứng dụng để phát nguy bảo mật cho thiết bị di động dùng hệ điều hành Android Từ hỗ trợ người dùng định: cài đặt thêm ứng dụng hay không, cài đặt nhóm ứng dụng hay không Công việc thứ năm: phân tích firmware để đánh giá tính an toàn trước download sử dụng Công việc thứ sáu: Xây dựng giải pháp phân tích nhóm ứng dụng trang cung cấp ứng dụng để gom nhóm nhóm ứng dụng có nguy gâp rò rĩ thông tin liên ứng dụng Nơi thực đề tài nghiên cứu luận án Đại học Công nghệ Thông tin, Đại học Quốc gia TP HCM 50 Dự kiến sơ tiến độ thực đề tài nghiên cứu Bảng 11 Bảng dự kiến tiến độ thực đề tài nghiên cứu STT Thời gian 06/2014-05/2015 06/2015-10/2015 11/2015-12/2015 01/2016-06/2016 07/2016-12/2016 01/2017-01/2017 02/2017-05/2017 06/2017-12/2017 Công việc Khảo sát nghiên cứu liên quan đến đề tài Xác định đồ thị thể tính liên thông ứng dụng Triển khai thử nghiệm Thiết kế, triển khai thử nghiệm hệ thống phân tích tính an toàn cho firmware dựa vào kỹ thuật phân tích liên ứng dụng Thiết kế, triển khai thử nghiệm hệ thống phân tích tính an toàn cho cho thiết bị di động sử dụng hệ điều hành Android cài thêm ứng dụng nhóm nhiều ứng dụng dựa vào kỹ thuật phân tích liên ứng dụng Viết thêm số nhóm ứng dụng có sử dụng việc truyền liệu qua ứng dụng khác để bổ sung vào tập liệu thử Thử nghiệm toàn hệ thống so sánh với nghiên cứu khác Hoàn thành luận án 51 Tài liệu tham khảo [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] (2015, April 10) Gartner Says Tablet Sales Continue to Be Slow in 2015 Available: http://www.gartner.com/newsroom/id/2954317 F-Secure (2014, May) Mobile Threat Report Q1 2014 Available: https://www.fsecure.com/documents/996508/1030743/Mobile_Threat_Report_Q1 _2014.pdf Semantec (2015, May) 2015 Internet Security Threat Report, Volume 20 Available: http://www.symantec.com/security_response/publications/threatrepo rt.jsp C.-Y Huang, Y.-T Tsai, and C.-H Hsu, "Performance Evaluation on Permission-Based Detection for Android Malware," in Advances in Intelligent Systems and Applications - Volume vol 21, J.-S Pan, C.N Yang, and C.-C Lin, Eds., ed: Springer Berlin Heidelberg, 2013, pp 111-120 B Sanz, I Santos, C Laorden, X Ugarte-Pedrero, J Nieves, P G Bringas, et al., "MAMA: Manifest Analysis For Malware Detection In Android," Cybern Syst., vol 44, pp 469-488, 2013 H Peng, C Gates, B Sarma, N Li, Y Qi, R Potharaju, et al., "Using probabilistic generative models for ranking risks of Android apps," presented at the Proceedings of the 2012 ACM conference on Computer and communications security, Raleigh, North Carolina, USA, 2012 P Xiong, X Wang, W Niu, T Zhu, and G Li, "Android malware detection with contrasting permission patterns," Communications, China, vol 11, pp 1-14, 2014 L Shuang and D Xiaojiang, "Permission-combination-based scheme for Android mobile malware detection," in Communications (ICC), 2014 IEEE International Conference on, 2014, pp 2301-2306 W Enck, M Ongtang, and P McDaniel, "On lightweight mobile phone application certification," presented at the Proceedings of the 16th ACM conference on Computer and communications security, Chicago, Illinois, USA, 2009 S Arzt, S Rasthofer, C Fritz, E Bodden, A Bartel, J Klein, et al., "FlowDroid: precise context, flow, field, object-sensitive and lifecycle-aware taint analysis for Android apps," presented at the Proceedings of the 35th ACM SIGPLAN Conference on Programming Language Design and Implementation, Edinburgh, United Kingdom, 2014 L Li, A Bartel, J Klein, and Y le Traon, "Automatically Exploiting Potential Component Leaks in Android Applications," in Trust, 52 [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] Security and Privacy in Computing and Communications (TrustCom), 2014 IEEE 13th International Conference on, 2014, pp 388-397 W Klieber, L Flynn, A Bhosale, L Jia, and L Bauer, "Android taint flow analysis for app sets," presented at the Proceedings of the 3rd ACM SIGPLAN International Workshop on the State of the Art in Java Program Analysis, Edinburgh, United Kingdom, 2014 L Li, A Bartel, T Bissyande, J Klein, Y L Traon, S Arzt, et al., "IccTA: Detecting Inter-Component Privacy Leaks in Android Apps," presented at the The 37th International Conference on Software Engineering (ICSE), Firenze, Italy, 2015 (2015) ApkTool Available: https://github.com/iBotPeaches/Apktool W Enck, D Octeau, P McDaniel, and S Chaudhuri, "A study of android application security," presented at the Proceedings of the 20th USENIX conference on Security, San Francisco, CA, 2011 Z Min, S Mingshen, and J C S Lui, "Droid Analytics: A Signature Based Analytic System to Collect, Extract, Analyze and Associate Android Malware," in Trust, Security and Privacy in Computing and Communications (TrustCom), 2013 12th IEEE International Conference on, 2013, pp 163-171 I Burguera, U Zurutuza, and S Nadjm-Tehrani, "Crowdroid: behavior-based malware detection system for Android," presented at the Proceedings of the 1st ACM workshop on Security and privacy in smartphones and mobile devices, Chicago, Illinois, USA, 2011 G Portokalidis, P Homburg, K Anagnostakis, and H Bos, "Paranoid Android: versatile protection for smartphones," presented at the Proceedings of the 26th Annual Computer Security Applications Conference, Austin, Texas, USA, 2010 W Enck, P Gilbert, B.-G Chun, L P Cox, J Jung, P McDaniel, et al., "TaintDroid: an information-flow tracking system for realtime privacy monitoring on smartphones," presented at the Proceedings of the 9th USENIX conference on Operating systems design and implementation, Vancouver, BC, Canada, 2010 G Dini, F Martinelli, A Saracino, and D Sgandurra, "MADAM: a multi-level anomaly detector for android malware," presented at the Proceedings of the 6th international conference on Mathematical Methods, Models and Architectures for Computer Network Security: computer network security, St Petersburg, Russia, 2012 A Shabtai, U Kanonov, Y Elovici, C Glezer, and Y Weiss, ""Andromaly": a behavioral malware detection framework for android devices," J Intell Inf Syst., vol 38, pp 161-190, 2012 (2015) UI/Application Exerciser Monkey Available: http://developer.android.com/tools/help/monkey.html Lantz (2015) DroidBox Available: https://code.google.com/p/droidbox/ V v d Veen (2014) Tracedroid - Dynamic Android app analysis Available: http://tracedroid.few.vu.nl/ 53 [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] L K Yan and H Yin, "DroidScope: seamlessly reconstructing the OS and Dalvik semantic views for dynamic Android malware analysis," presented at the Proceedings of the 21st USENIX conference on Security symposium, Bellevue, WA, 2012 M Spreitzenbarth, F Freiling, F Echtler, T Schreck, and J Hoffmann, "Mobile-sandbox: having a deeper look into android applications," presented at the Proceedings of the 28th Annual ACM Symposium on Applied Computing, Coimbra, Portugal, 2013 Bla, x, T sing, L Batyuk, A D Schmidt, S A Camtepe, et al., "An Android Application Sandbox system for suspicious software detection," in Malicious and Unwanted Software (MALWARE), 2010 5th International Conference on, 2010, pp 55-62 C Zheng, S Zhu, S Dai, G Gu, X Gong, X Han, et al., "SmartDroid: an automatic system for revealing UI-based trigger conditions in android applications," presented at the Proceedings of the second ACM workshop on Security and privacy in smartphones and mobile devices, Raleigh, North Carolina, USA, 2012 P Faruki, V Ganmoor, V Laxmi, M S Gaur, and A Bharmal, "AndroSimilar: robust statistical feature signature for Android malware detection," presented at the Proceedings of the 6th International Conference on Security of Information and Networks, Aksaray, Turkey, 2013 M Grace, Y Zhou, Q Zhang, S Zou, and X Jiang, "RiskRanker: scalable and accurate zero-day android malware detection," presented at the Proceedings of the 10th international conference on Mobile systems, applications, and services, Low Wood Bay, Lake District, UK, 2012 P P F Chan, L C K Hui, and S M Yiu, "DroidChecker: analyzing android applications for capability leak," presented at the Proceedings of the fifth ACM conference on Security and Privacy in Wireless and Mobile Networks, Tucson, Arizona, USA, 2012 D Arp, M Spreitzenbarth, M Hubner, H Gascon, and K Rieck, "Drebin: Effective and explainable detection of android malware in your pocket," in Network and Distributed System Security (NDSS) Symposium, San Diego, California 2014 V Moonsamy, J Rong, S Liu, G Li, and L Batten, "Contrasting Permission Patterns between Clean and Malicious Android Applications," in Security and Privacy in Communication Networks vol 127, T Zia, A Zomaya, V Varadharajan, and M Mao, Eds., ed: Springer International Publishing, 2013, pp 69-85 H Gascon, F Yamaguchi, D Arp, and K Rieck, "Structural detection of android malware using embedded call graphs," presented at the Proceedings of the 2013 ACM workshop on Artificial intelligence and security, Berlin, Germany, 2013 Y Aafer, W Du, and H Yin, "DroidAPIMiner: Mining API-Level Features for Robust Malware Detection in Android," in Security and 54 [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] Privacy in Communication Networks vol 127, T Zia, A Zomaya, V Varadharajan, and M Mao, Eds., ed: Springer International Publishing, 2013, pp 86-103 W Dong-Jie, M Ching-Hao, W Te-En, L Hahn-Ming, and W KuoPing, "DroidMat: Android Malware Detection through Manifest and API Calls Tracing," in Information Security (Asia JCIS), 2012 Seventh Asia Joint Conference on, 2012, pp 62-69 F Wei, S Roy, X Ou, and Robby, "Amandroid: A Precise and General Inter-component Data Flow Analysis Framework for Security Vetting of Android Apps," presented at the Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security, Scottsdale, Arizona, USA, 2014 R Xu, H Sa, #239, di, and R Anderson, "Aurasium: practical policy enforcement for Android applications," presented at the Proceedings of the 21st USENIX conference on Security symposium, Bellevue, WA, 2012 K J Abela, D K Angeles, J R D Alas, R J Tolentino, and M A Gomez, "Automated malware detection for android AMDA," in 2nd International Conference on Cyber Security, Cyber Peacefare and Digital Forensic, Kuala Lumpur, Malaysia, 2013 G Dini, F Martinelli, A Saracino, and D Sgandurra, "Probabilistic Contract Compliance for Mobile Applications," in Availability, Reliability and Security (ARES), 2013 Eighth International Conference on, 2013, pp 599-606 W Te-En, M Ching-Hao, A B Jeng, L Hahn-Ming, W Horng-Tzer, and W Dong-Jie, "Android Malware Detection via a Latent Network Behavior Analysis," in Trust, Security and Privacy in Computing and Communications (TrustCom), 2012 IEEE 11th International Conference on, 2012, pp 1251-1258 M Zaman, T Siddiqui, M R Amin, and M S Hossain, "Malware detection in Android by network traffic analysis," in Networking Systems and Security (NSysS), 2015 International Conference on, 2015, pp 1-5 A Shabtai, L Tenenboim-Chekina, D Mimran, L Rokach, B Shapira, and Y Elovici, "Mobile malware detection through analysis of deviations in application network behavior," Computers & Security, vol 43, pp 1-18, June 2014 M Conti, L V Mancini, R Spolaor, and N V Verde, "Can't You Hear Me Knocking: Identification of User Actions on Android Apps via Traffic Analysis," presented at the Proceedings of the 5th ACM Conference on Data and Application Security and Privacy, San Antonio, Texas, USA, 2015 L Jun, Z Lidong, Z Xinyou, and Q Daiyong, "Research of android malware detection based on network traffic monitoring," in Industrial Electronics and Applications (ICIEA), 2014 IEEE 9th Conference on, 2014, pp 1739-1744 55 [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] L Tenenboim-Chekina, O Barad, A Shabtai, D Mimran, L Rokach, B Shapira, et al., "Detecting application update attack on mobile devices through network featur," in Computer Communications Workshops (INFOCOM WKSHPS), 2013 IEEE Conference on, 2013, pp 91-92 X Wu, D Zhang, X Su, and W Li, "Detect repackaged Android application based on HTTP traffic similarity," Security and Communication Networks, pp n/a-n/a, 2015 S Feldman, D Stadther, and W Bing, "Manilyzer: Automated Android Malware Detection through Manifest Analysis," in Mobile Ad Hoc and Sensor Systems (MASS), 2014 IEEE 11th International Conference on, 2014, pp 767-772 T Isohara, K Takemori, and A Kubota, "Kernel-based Behavior Analysis for Android Malware Detection," in Computational Intelligence and Security (CIS), 2011 Seventh International Conference on, 2011, pp 1011-1015 B Dixon and S Mishra, "Power Based Malicious Code Detection Techniques for Smartphones," in Trust, Security and Privacy in Computing and Communications (TrustCom), 2013 12th IEEE International Conference on, 2013, pp 142-149 A Feizollah, N B Anuar, R Salleh, and F Amalina, "Comparative study of k-means and mini batch k-means clustering algorithms in android malware detection using network traffic analysis," in Biometrics and Security Technologies (ISBAST), 2014 International Symposium on, 2014, pp 193-197 M Zheng, M Sun, and J C S Lui, "DroidRay: a security evaluation system for customized android firmwares," presented at the Proceedings of the 9th ACM symposium on Information, computer and communications security, Kyoto, Japan, 2014 S Hanna, L Huang, E Wu, S Li, C Chen, and D Song, "Juxtapp: a scalable system for detecting code reuse among android applications," presented at the Proceedings of the 9th international conference on Detection of Intrusions and Malware, and Vulnerability Assessment, Heraklion, Crete, Greece, 2013 G Hu, T Li, H Dong, H Yu, and M Zhang, "Malicious Code Detection for Android Using Instruction Signatures," in Service Oriented System Engineering (SOSE), 2014 IEEE 8th International Symposium on, 2014, pp 332-337 Y Feng, S Anand, I Dillig, and A Aiken, "Apposcopy: semanticsbased detection of Android malware through static analysis," presented at the Proceedings of the 22nd ACM SIGSOFT International Symposium on Foundations of Software Engineering, Hong Kong, China, 2014 D Octeau, P McDaniel, S Jha, A Bartel, E Bodden, J Klein, et al., "Effective inter-component communication mapping in Android with Epicc: an essential step towards holistic security analysis," presented 56 [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] at the Proceedings of the 22nd USENIX conference on Security, Washington, D.C., 2013 S Rasthofer, S Arzt, and E Bodden, "A Machine-learning Approach for Classifying and Categorizing Android Sources and Sinks," 2014 V Rastogi, Y Chen, and W Enck, "AppsPlayground: automatic security analysis of smartphone applications," presented at the Proceedings of the third ACM conference on Data and application security and privacy, San Antonio, Texas, USA, 2013 E Chin, A P Felt, K Greenwood, and D Wagner, "Analyzing interapplication communication in Android," presented at the Proceedings of the 9th international conference on Mobile systems, applications, and services, Bethesda, Maryland, USA, 2011 Z Fang, Q Liu, Y Zhang, K Wang, and Z Wang, "IVDroid: Static Detection for Input Validation Vulnerability in Android Intercomponent Communication," in Information Security Practice and Experience vol 9065, J Lopez and Y Wu, Eds., ed: Springer International Publishing, 2015, pp 378-392 R Vallée-Rai, E Gagnon, L Hendren, P Lam, P Pominville, and V Sundaresan, "Optimizing Java Bytecode Using the Soot Framework: Is It Feasible?," in Compiler Construction vol 1781, D Watt, Ed., ed: Springer Berlin Heidelberg, 2000, pp 18-34 E Bodden, "Inter-procedural data-flow analysis with IFDS/IDE and Soot," presented at the Proceedings of the ACM SIGPLAN International Workshop on State of the Art in Java Program analysis, Beijing, China, 2012 S Bugiel, L Davi, A Dmitrienko, T Fischer, and A.-R Sadeghi, "XManDroid: A New Android Evolution to Mitigate Privilege Escalation Attacks," Technische Universitt Darmstadt Technical Report of Center for Advanced Security Research Darmstadt2011 D Octeau, D Luchaup, M Dering, S Jha, and P McDaniel, "Composite Constant Propagation: Application to Android InterComponent Communication Analysis," in the 37th International Conference on Software Engineering (ICSE), 2015 L Li, A Bartel, T Bissyandé, J Klein, and Y Traon, "ApkCombiner: Combining Multiple Android Apps to Support Inter-App Analysis," in ICT Systems Security and Privacy Protection vol 455, H Federrath and D Gollmann, Eds., ed: Springer International Publishing, 2015, pp 513-527 M Grace, Y Zhou, Z Wang, and X Jiang, "Systematic Detection of Capability Leaks in Stock Android Smartphones," in The 19th Annual Network & Distributed System Security Symposium, 2012 F-Secure (2014) Available: https://www.fsecure.com/documents/996508/1030743/Mobile_Threat_Report_Q1 _2014.pdf E SPRIDE (2015, March 10) DroidBench – Benchmarks Available: http://sseblog.ec-spride.de/tools/droidbench/ 57 [69] [70] [71] [72] [73] (2015) ICC-Bench: Benchmark apps for static analyzing intercomponent data leakage problem of Android apps Available: https://github.com/fgwei/ICC-Bench (2015) VirusShare Available: http://virusshare.com/ (2015) Android Malware Genome Project Available: http://www.malgenomeproject.org/ (2015) Google Play Available: https://play.google.com/store (2015) DownloadAndroidROM Available: http://downloadandroidrom.com/ 58 [...]... cứu liên quan đến phân tích thông tin mạng hiện tại đề chỉ dừng lại ở bước phân tích thông tin các gói tin mạng, hoặc kết hợp thông tin gói tin mạng với các permission nhạy cảm, hay các hàm API nhạy cảm trên từng ứng dụng riêng biệt Cần phải mở rộng các nghiên cứu này theo hướng phân tích liên ứng dụng Tức là việc phân tích thông tin gói tin mạng là một quá trình con trong quá trình phân tích liên ứng. .. nhận dạng Phân tích tĩnh là phương pháp phân tích không cần thực thi ứng dụng trong khi đó phân tích động là phương pháp phân tích dựa vào các thông tin thu được khi chạy ứng dụng Phương pháp phân tích tổng hợp là phương kết hợp cả phương pháp phân tích tĩnh và phương pháp phân tích động 1.2.1.1 Kỹ thuật phân tích tĩnh Phân tích tĩnh là phương pháp phân tích được sử dụng phổ biến [4-13] Phân tích tĩnh... [45] đề xuất một hướng tiếp cận trong việc phân tích malware trên Android bằng cách áp dụng thuật toán phân lớp SVM trên các thông tin truy cập mạng Tác giả cho chạy các ứng dụng sạch trong thời gian dài và tiến hành thu thập thông tin gói tin mạng, tiếp theo cho các ứng malware chạy để tiến hành thu thập thông tin mạng Việc phân loại dựa vào hai thông tin thu thập này Hướng tiếp cận này chỉ phát hiện... việc phân tích chỉ dừng lại ở việc phân tích trên từng ứng dụng đơn mà chưa đề cập nhiều đến việc phân tích liên ứng dụng Thực tế cần được mở rộng phân tích liên ứng dụng để phát hiện chính xác hơn các trường hợp tấn công leo thang, cộng tác giữa các ứng dụng Các trường hợp này có thể không bị phát hiện trong các nghiên cứu trên ứng dụng đơn Các ứng dụng phòng chống malware thương mại thường sử dụng. .. thì xem ứng dụng này là một ứng dụng độc hại Hướng tiếp cận này được sử dụng nhiều trong các nghiên cứu trước đây [5, 17, 18, 20, 21, 29, 32-36, 39, 41, 50] Andromaly [21] sử dụng kỹ thuật phân tích động với thuật toán máy học trong việc phân loại một ứng dụng là malware hay ứng dụng sạch Quá trình phân loại được thực hiện trên chính thiết bị Dữ liệu nguồn dùng để phân tích gồm 24 thông tin sử dụng CPU,... vi phân tích Phạm vi phân tích trên từng ứng dụng chỉ thu thập các đặc trưng của một ứng dụng cụ thể, không xét đến mối tương quan của ứng dụng đang phân tích với các ứng dụng khác Trong trường hợp này, việc phân tích nhanh, tuy nhiên không phát hiện các trường hợp tấn công leo thang hay các malware sử dụng kỹ thuật tấn công cộng tác Scope of analysis Standalone App Group of Apps Hình 15: Phạm vi phân. .. về tập tin AndroidManifest.xml 18 Có nhiều nghiên cứu phát hiện malware trên Android dựa vào việc phân tích permission [4-9] Các thông tin liên quan đến permission của một ứng dụng được rút trích một cách dễ dàng bằng các công cụ như ApkTool [14] Huang và đồng sự [4] đề xuất một giải pháp phát hiện malware dựa vào phân tích permission của ứng dụng bằng cách so với cơ sở dữ liệu của hai nhóm ứng dụng. .. cần thực thi ứng dụng Các thông tin dùng để phát hiện malware nằm trong gói tập tin cài đặt Ví dụ: thông tin từ tập tin AndroidManifest.xml, các thư viện, hàm API và mã nguồn khác được rút trích từ tập tin của ứng dụng Hình 5: Cấu trúc tập tin apk Quá trình phân tích tĩnh có thể bao gồm các bước chính sau: - Dịch ngược các tập tin cài đặt của ứng dụng sang mã nguồn - Rút trích các thông tin đặc trưng... phạm vi phân tích trên cả thiết bị cho phép phân tích nguy cơ bảo mật trên cả thiết bị thay vì chỉ phân tích trên một số ứng dụng có trên thiết bị này Phân tích firmware của thiết bị di động [52] cũng là một hướng nghiên cứu mới 1.2.4 Loại nhận diện (Type of identification) Có hai loại nhận diện Android malware: Signature-based detection (SB), Anomaly-based detection (AB) Type of identification Anomalybased... việc phân tích các tổ hợp của các permission trong một ứng dụng xem tổ hợp này thuộc vào nhóm ứng dụng malware hay nhóm ứng dụng sạch Hướng tiếp cận này cũng chỉ quan tâm đến việc phân tích permission Tức là xem độ tương đồng về danh sách permission của một ứng dụng với cơ sở dữ liệu có sẵn Enclamald [7] của Xiong và đồng sự phát hiện malware bằng cách phân tích tập các permission của các ứng dụng