ĐẠI HỌC QUỐC GIA TP. HỒ CHÍ MINH
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG
——————– * ———————
KHÓA LUẬN TỐT NGHIỆP
XÂY DỰNG HỆ THỐNG
QUẢN LÝ BẢO MẬT TRÊN
ANDROID SMARTPHONES
Giảng viên hướng dẫn: TS. NGUYỄN ANH TUẤN
Sinh viên thực hiện
: NGUYỄN THÀNH VINH
LÊ VĂN THƯƠNG
Lớp
: MMT03
Khóa
: 2008 - 2012
TP. Hồ Chí Minh, tháng 3 năm 2013
– 08520618
– 08520599
TÓM TẮT
ii
TÓM TẮT
Ngày nay, điện thoại di động đã trở thành những chiếc máy tính cá nhân
mới. Chúng có thể lưu trữ dữ liệu, thực hiện hầu hết và tương tự các chức năng
của một chiếc máy tính [18]. Thông qua các hệ thống quản lý dữ liệu và hành
vi giao tiếp của người dùng, điện thoại di động nắm giữ một lượng thông tin đồ
sộ. Các thông tin đó có thể bao gồm thông tin cá nhân như danh bạ, tin nhắn
cá nhân, email, thông tin tài khoản, thông tin mạng xã hội, hình ảnh, video hay
cũng có thể là thông tin về tài chính, ngân hàng, hoạt động của doanh nghiệp,
tổ chức. Thực vậy, lấy bối cảnh trong môi trường doanh nghiệp, hơn 80% dữ
liệu mới và quan trọng được lưu trữ trên điện thoại di động [1]. Theo tài liệu
của Alliance Against Crime, 80% người sử dụng điện thoại di động trên Vương
quốc Anh lưu trữ các thông tin cá nhân có thể lợi dụng để lừa đảo, 16% người
sử dụng lưu trữ thông tin tài khoản ngân hàng của họ [8]. Ngoài ra, điện thoại
di động sẽ là phương thức thanh toán được hơn 50 triệu người sử dụng trong
thập kỷ tới [10].
Thật không may, đi đôi với sự nhỏ gọn và linh hoạt của mình, điện thoại di
động dễ bị tổn thương bởi các sự cố, nạn trộm cắp và từ những hành vi sử dụng
của người dùng. Theo tạp chí Mobile World, toàn Vương quốc Anh ước tính có
76 triệu điện thoại di động, trong đó có 4,2 triệu thiết bị được cảnh báo có nguy
cơ bị trộm cắp. Cùng với đó, nạn trộm cắp điện thoại gây thiệt hại 390 triệu
bảng Anh mỗi năm với hơn 2 triệu thiết bị bị mất, tương đương với 229 thiết
bị trong một giờ [8]. Tội phạm có thể dùng những thiết bị này để thực hiện lừa
đảo qua email, quấy rối qua tin nhắn, buôn bán nội dung khiêu dâm, tội phạm
ma túy, tống tiền. . . [15]
Thực tế trên cho thấy việc bảo vệ thiết bị và dữ liệu trên điện thoại di động
là một vấn đề đặc biệt quan trọng. Điều gì sẽ xảy ra khi chiếc điện thoại lưu
thông tin giao dịch của bạn bị mất hoặc hư hỏng do sự cố? Điều gì sẽ xảy ra
khi các thông tin cá nhân của bạn bị đọc lén? Làm cách nào để biết không ai
sử dụng điện thoại của mình khi bạn thất lạc nó ở đâu đó? Làm cách nào để
lấy lại dữ liệu cũng như thiết bị đã mất?
Trên thế giới đã có rất nhiều ứng dụng được phát triển để giải quyết các
vấn đề trên. Trong đó phải kể đến các ứng dụng của các công ty bảo mật uy
tín như Lookout Security & Antivirus, Kaspersky Mobile Security, Bitdefender
Anti-Theft,. . . Các ứng dụng trên đã thực hiện tốt chức năng bảo mật dữ liệu,
cảnh báo nguy cơ, truy vết điện thoại di động. Tuy nhiên, vấn đề truy tìm chủ
GVHD: TS. Nguyễn Anh Tuấn
SVTH: Nguyễn Thành Vinh - Lê Văn Thương
TÓM TẮT
iii
sở hữu tiếp theo của thiết bị (tại Việt Nam) và hỗ trợ cơ quan chức năng điều
tra tội phạm trên những thiết bị này vẫn còn để ngõ. Chính vì vậy, khóa luận
này mong muốn xây dựng và phát triển hệ thống quản lý bảo mật trên điện
thoại di động nhằm bảo vệ, quản lý dữ liệu người dùng, tự động cảnh báo và
truy tìm dấu vết thiết bị, khai thác dữ liệu trên thiết bị để phục vụ công tác
điều tra. Bên cạnh đó, khóa luận còn nghiên cứu về vấn đề mobile forensics
trên hệ điều hành Android để góp phần nâng cao khả năng thu thập dữ liệu
trong lĩnh vực pháp chứng số và tư vấn người dùng về các nguy cơ bảo mật của
smartphones.
Do thời gian nghiên cứu còn hạn chế, báo cáo này chắc chắn còn nhiều sai
sót, khuyết điểm. Nhóm tác giả kính mong quý Thầy, Cô và các bạn đóng góp
ý kiến để đề tài hoàn thiện và thực tiễn hơn. Xin chân thành cảm ơn!
TP. Hồ Chí Minh, ngày 01 tháng 03 năm 2013
Nhóm tác giả
GVHD: TS. Nguyễn Anh Tuấn
SVTH: Nguyễn Thành Vinh - Lê Văn Thương
LỜI CẢM ƠN
iv
LỜI CẢM ƠN
Chúng tôi xin gởi lời cảm ơn chân thành và sâu sắc đến các thầy cô trong
khoa Mạng Máy Tính và Truyền Thông, cũng như tất cả các thầy cô trong
trường Đại Học Công Nghệ Thông Tin đã truyền đạt kiến thức, kinh nghiệm
quý báu của mình trong suốt quá trình chúng tôi học tập và nghiên cứu tại
trường.
Chúng tôi xin gởi lời cảm ơn đặc biệt đến thầy TS. Nguyễn Anh Tuấn, người
thầy đã truyền cảm hứng, niềm đam mê nghiên cứu, sáng tạo cho chúng tôi.
Thầy là người đã tận tình hướng dẫn, hỗ trợ và tạo điều kiện tốt nhất để chúng
tôi hoàn thành khóa luận này.
Xin gởi lời cảm ơn đến các anh, chị và bạn bè trong khoa Mạng Máy Tính
và Truyền Thông đã giúp đỡ, trao đổi kiến thức trong suốt quá trình học tập
và thực hiện khóa luận này.
Chúng con xin dành lời cám ơn to lớn nhất đến ba, mẹ và gia đình. Ba, mẹ
và gia đình đã luôn ở bên chúng con, là nguồn động lực không mệt mỏi và là
chỗ dựa tinh thần vững chắc giúp chúng con vượt qua những khó khăn để hoàn
thành tốt khóa luận này.
Mặc dù đã nỗ lực cố gắng song khóa luận này chắc chắn không thể tránh
khỏi sai sót, khuyết điểm. Chúng tôi kính mong nhận được sự thông cảm và tận
tình chỉ bảo, góp ý của quý Thầy Cô và các bạn.
TP. Hồ Chí Minh, ngày 01 tháng 03 năm 2013
Nhóm tác giả
GVHD: TS. Nguyễn Anh Tuấn
SVTH: Nguyễn Thành Vinh - Lê Văn Thương
NHẬN XÉT
v
Nhận xét
(của giảng viên hướng dẫn)
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
GVHD: TS. Nguyễn Anh Tuấn
SVTH: Nguyễn Thành Vinh - Lê Văn Thương
NHẬN XÉT
vi
Nhận xét
(của giảng viên phản biện)
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
..............................................................................
GVHD: TS. Nguyễn Anh Tuấn
SVTH: Nguyễn Thành Vinh - Lê Văn Thương
MỤC LỤC
vii
Mục lục
Tóm tắt
ii
Mục lục
vii
Danh mục hình ảnh
x
Danh mục bảng biểu
xii
1 Giới thiệu đề tài
1.1 Tên đề tài . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2 Từ khóa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3 Mục tiêu đề tài và các vấn đề đặt ra . . . . . . . . . . . . . . . .
1.4
1.5
1.6
1.7
1.8
2
Đối tượng áp dụng và phạm vi của đề tài
Đối tượng nghiên cứu . . . . . . . . . . . .
Phương pháp nghiên cứu . . . . . . . . . .
Đóng góp của đề tài . . . . . . . . . . . . .
Cấu trúc khóa luận . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Khảo sát hiện trạng và các kiến thức liên quan
2.1 An toàn thông tin trên điện thoại di động . . . . .
2.2 Kịch bản rủi ro . . . . . . . . . . . . . . . . . . . .
2.3 Đặc điểm của một thiết bị an toàn . . . . . . . . .
2.4 Các hệ thống đã được phát triển . . . . . . . . . .
2.5
2.4.1 Lookout Security & Antivirus . . . . . .
2.4.2 Kaspersky Mobile Security . . . . . . .
2.4.3 Bitdefender Anti-Theft . . . . . . . . . .
Hệ điều hành Android . . . . . . . . . . . . . .
2.5.1 Sự phát triển của hệ điều hành Android
2.5.2 Đặc trưng của hệ điều hành Android . .
2.5.3 Lập trình trên Android . . . . . . . . . .
GVHD: TS. Nguyễn Anh Tuấn
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
1
1
1
1
.
.
.
.
.
3
3
4
4
5
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
6
6
7
8
10
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
11
12
13
15
15
15
17
SVTH: Nguyễn Thành Vinh - Lê Văn Thương
MỤC LỤC
2.6
viii
2.7
Android Forensics . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.6.1 Nhận dạng và vô hiệu hóa điện thoại Android . . . . . .
2.6.2 Tổ chức và lưu trữ dữ liệu của hệ điều hành Android . .
2.6.3 Android Rooting và ảnh hưởng của nó đến mobile forensics
Các kiến thức cần thiết khác . . . . . . . . . . . . . . . . . . . . .
18
18
19
23
28
2.8
2.9
2.7.1 Web Service . . . . .
2.7.2 Yii framework . . . .
2.7.3 Ozeki SMS Gateway
Thảo luận . . . . . . . . . .
Kết chương . . . . . . . . . .
.
.
.
.
.
28
30
31
31
32
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
3 Thiết kế hệ thống
3.1 Đặc tả yêu cầu . . . . . . . . . . . . . . . . . .
3.1.1 Mục đích, phạm vi của hệ thống . . .
3.1.1.1 Mục đích xây dựng hệ thống
3.1.1.2 Phạm vi của hệ thống . . . .
3.3
3.4
Thiết
3.3.1
3.3.2
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
34
34
36
37
38
38
38
3.2.1.2 Kiến trúc ứng dụng TUI Security
Thiết kế Use Case Diagram . . . . . . . . .
3.2.2.1 Danh sách tác nhân . . . . . . . .
3.2.2.2 Use Case Diagram . . . . . . . . .
kế sơ đồ khối và giải thuật . . . . . . . . . .
Các tính năng cơ bản . . . . . . . . . . . . .
Tính năng điều khiển . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
39
41
41
42
46
46
48
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
53
53
55
62
Yêu cầu của hệ thống . . .
3.1.2.1 Yêu cầu chức năng
3.1.2.2 Yêu cầu kỹ thuật .
3.1.2.3 Yêu cầu thiết bị .
Thiết kế hệ thống . . . . . . . . . .
3.2.1 Thiết kế kiến trúc hệ thống
3.2.1.1 Mô hình hệ thống
3.2.2
.
.
.
.
.
33
33
33
33
34
3.1.2
3.2
.
.
.
.
.
3.3.3 Tính năng tìm thông
3.3.4 Bảo mật . . . . . . .
3.3.5 Tương tác service . .
Kết chương . . . . . . . . . .
GVHD: TS. Nguyễn Anh Tuấn
tin
. .
. .
. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
vị trí thiết bị
. . . . . . . .
. . . . . . . .
. . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
SVTH: Nguyễn Thành Vinh - Lê Văn Thương
MỤC LỤC
ix
4 Hiện thực hệ thống quản lý bảo mật TUI Security
4.1 Môi trường thực thi . . . . . . . . . . . . . . . . . . . . .
4.2 Hiện thực chương trình TUI Security . . . . . . . . . . .
4.2.1 Sơ đồ lớp . . . . . . . . . . . . . . . . . . . . . . .
4.2.1.1 Hiện thực bộ phận thực thi điều khiển
4.2.1.2 Hiện thực một số tính năng quan trọng
4.2.2 Sơ đồ tuần tự . . . . . . . . . . . . . . . . . . . .
4.3
4.4
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
63
63
63
63
63
66
69
4.2.2.1 Soạn thảo tin nhắn điều khiển . . . . . . . .
4.2.2.2 Lắng nghe, phân tích và thực thi điều khiển
ảnh của hệ thống TUI Security . . . . . . . . . . . . . .
Cái nhìn tổng quan về hệ thống . . . . . . . . . . . . .
Đăng ký tài khoản hệ thống . . . . . . . . . . . . . . .
Thiết lập thông số ban đầu . . . . . . . . . . . . . . .
Các giao diện chính của ứng dụng . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
70
71
72
72
74
75
76
4.3.5 Thực thi điều khiển từ ứng dụng . . . . . . . . . . . . . .
Tổng kết và đánh giá hệ thống . . . . . . . . . . . . . . . . . . .
77
78
Hình
4.3.1
4.3.2
4.3.3
4.3.4
.
.
.
.
.
.
.
.
.
.
.
.
5 Kết luận & Hướng phát triển
5.1
5.2
79
Kết luận . . . . . . . . . . . . . . . . . . . . . . . . .
Hướng phát triển . . . . . . . . . . . . . . . . . . . .
5.2.1 Các vấn đề về an ninh và bảo mật . . . . . .
5.2.2 Theo dõi mạng lưới hoạt động của tội phạm
5.2.3 Phục hồi dữ liệu đã bị xóa . . . . . . . . . . .
5.2.4 Một số tính năng nâng cao . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
79
80
80
81
81
82
Phụ lục
83
Tài liệu tham khảo
88
GVHD: TS. Nguyễn Anh Tuấn
SVTH: Nguyễn Thành Vinh - Lê Văn Thương
DANH MỤC HÌNH ẢNH
x
Danh mục hình ảnh
2.1
2.2
2.3
2.4
2.5
Tính năng Find My Phone của Lookout Security & Antivirus
Tính năng Anti-theft của Kaspersky Mobile Security . . . . . .
Giao diện điều khiển của ứng dụng Bitdefender Anti-Theft . .
Các biến shared preferences của ứng dụng Gmail . . . . . . . .
Cấu trúc thư mục dữ liệu của ứng dụng Google Maps . . . . .
.
.
.
.
.
11
13
14
20
21
2.6
2.7
2.8
2.9
2.10
2.11
2.12
Cấu trúc thư mục database của ứng dụng Android Browser
Android Browser plaintext password . . . . . . . . . . . . .
Các dữ liệu được khai thác từ trình duyệt web Android . .
Các dữ liệu về danh bạ và tin nhắn . . . . . . . . . . . . . .
Dữ liệu trong ứng dụng Gmail . . . . . . . . . . . . . . . . .
Các dữ liệu được khai thác từ Facebook . . . . . . . . . . .
Kiến trúc web service . . . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
22
24
24
25
26
27
28
3.1
3.2
Chim Tui - New Zealand . . . . . . . . . . . . . . . . . . . . . . .
Mô hình hệ thống TUI Security . . . . . . . . . . . . . . . . . . .
33
38
3.3
3.4
3.5
3.6
3.7
3.8
3.9
Kiến trúc ứng dụng TUI Security . . . . . . .
Danh sách các tác nhân sử dụng hệ thống . .
Use Case Diagram . . . . . . . . . . . . . . . .
Use case Login App . . . . . . . . . . . . . . .
Use case Remote Control Device . . . . . . .
Sơ đồ khối xử lý trong trường hợp khẩn cấp .
Sơ đồ khối xử lý khi nhận tin nhắn điều khiển
39
41
42
43
44
47
3.10
3.11
3.12
3.13
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
lấy thông
. .
. .
. .
. .
. .
. .
tin
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. . .
. . .
. . .
. . .
. . .
. . .
trên
thiết bị . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sơ đồ khối xử lý khi nhận tin nhắn điều khiển thực thi lắng nghe
Sơ đồ khối mô tả điều kiện để kết thúc việc lắng nghe trên thiết bị
Sơ đồ khối xử lý khi có tin nhắn điều khiển khóa màn hình và
phát âm thanh cảnh báo . . . . . . . . . . . . . . . . . . . . . . .
Sơ đồ khối bên nhận yêu cầu lấy vị trí thiết bị và thông tin thuê
bao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
GVHD: TS. Nguyễn Anh Tuấn
50
51
52
54
55
SVTH: Nguyễn Thành Vinh - Lê Văn Thương
DANH MỤC HÌNH ẢNH
xi
3.14 Sơ đồ khối phía server nhận và xử lý yêu cầu đăng ký, đăng nhập,
nhận lại mật khẩu . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.15 Sơ đồ khối phía server nhận và xử lý yêu cầu gởi SMS . . . . . .
3.16 Sơ đồ khối phía client yêu cầu đăng ký tài khoản mới . . . . . .
57
59
61
4.1
4.2
4.3
Hiện thực bộ phận lắng nghe điều khiển . . . . . . . . . . . . . .
Hiện thực bộ phận xác thực và phân tích tin nhắn điều khiển .
Hiện thực bộ phận thực thi lệnh . . . . . . . . . . . . . . . . . .
64
65
65
4.4
4.5
4.6
4.7
4.8
4.9
4.10
Hiện thực tính năng cảnh báo khi có SIM mới được lắp vào thiết bị
Hiện thực tính năng chống trộm . . . . . . . . . . . . . . . . . . .
Hiện thực tính năng tìm kiếm thiết bị . . . . . . . . . . . . . . .
Quá trình soạn thảo tin nhắn điều khiển . . . . . . . . . . . . . .
Quá trình lắng nghe, phân tích và thực thi điều khiển . . . . . .
Một số hình ảnh về ứng dụng TUI Security . . . . . . . . . . . .
Một số hình ảnh về ứng dụng TUI Security (tt) . . . . . . . . . .
66
67
68
70
71
72
73
4.11
4.12
4.13
4.14
4.15
Website http://tuisolutions.com.vn của hệ thống . . . . . .
Quá trình đăng ký tài khoản hệ thống . . . . . . . . . . . .
Các bước thiết lập thông số ban đầu cho ứng dụng . . . . .
Các giao diện tương tác chính của ứng dụng TUI Security
Các bước thực hiện một điều khiển từ xa trên ứng dụng . .
73
74
75
76
77
GVHD: TS. Nguyễn Anh Tuấn
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
SVTH: Nguyễn Thành Vinh - Lê Văn Thương
DANH MỤC BẢNG BIỂU
xii
Danh mục bảng biểu
2.1
2.2
Các đặc tính của thiết kế an toàn . . . . . . . . . . . . . . . . . .
Thư mục con của /data/data/
. . . . . . . . . .
10
20
3.1
3.2
3.3
3.4
3.5
Bảng đặc tả yêu cầu chức năng của hệ thống .
Bảng yêu cầu kỹ thuật của hệ thống . . . . . .
Đặc tả Use Case Login App . . . . . . . . . . .
Đặc tả Use Case Send Control Command . . .
Bảng mô tả đường dẫn yêu cầu các chức năng
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
phương thức
36
37
43
45
tương ứng . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
56
GVHD: TS. Nguyễn Anh Tuấn
. .
. .
. .
. .
và
SVTH: Nguyễn Thành Vinh - Lê Văn Thương
DANH MỤC TỪ VIẾT TẮT
xiii
Danh mục từ viết tắt
Từ
Viết tắt của
Ý nghĩa
3G
Third Generation
API
Application Programming In- Giao diện lập trình ứng dụng
terface
GPS
Global Positioning System
GMS
Global System for
Communications
HTTP
IDC
Thế hệ thứ 3 của công nghệ
truyền thông di động
Hệ thống định vị toàn cầu GPS
Mobile Hệ thống thông tin di động
toàn
Hypertext Transfer Protocol
Giao thức truyền tải siêu văn
bản
International Data Corpora- Tập đoàn Dữ liệu quốc tế
tion
(IDC) là nhà cung cấp hàng
đầu về thông tin thị trường, các
dịch vụ tư vấn, và các sự kiện
cho thị trường công nghệ công
nghệ thông tin, viễn thông và
người tiêu dùng.
IDE
Integrated Development Envi- Một loại phần mềm máy tính
ronment
có công dụng giúp đỡ các lập
trình viên trong việc phát triển
phần mềm
IMEI
International Mobile Station Mã số nhận dạng thiết bị di
Equipment Identity
động trên toàn thế giới
JSON
JavaScript Object Notation
Một kiểu
JavaScript
MD5
MessageDigest algorithm 5
Giải thuật Tiêu hóa tin 5
MMS
Multimedia Messaging Service
Dịch vụ nhắn tin đa phương
tiện
MSISDN
liệu
trong
Mobile Subscriber Integrated Là một số duy nhất xác định
Services
Number
PIN
dữ
Digital
Network- một thuê bao trong GSM hoặc
mạng di động UMTS
Personal Identification Num- Mã số cá nhân, dùng để xác
ber
thực thuê bao di động.
GVHD: TS. Nguyễn Anh Tuấn
SVTH: Nguyễn Thành Vinh - Lê Văn Thương
DANH MỤC TỪ VIẾT TẮT
xiv
REST
Representation State Transfer
Chuyển giao trạng thái biểu
diễn, là dạng yêu cầu dịch vụ
web mà máy khách truyền đi
trạng thái của tất cả giao dịch
SDK
Software Development Kit
Công cụ dành cho nhà phát
triển phần mềm
SIM
Subscriber Identity Module
Thẻ nhớ thông minh sử dụng
trên điện thoại di động - lưu trữ
những thông tin như số điện
thoại, mã số mạng di động, mã
PIN, sổ điện thoại cá nhân và
các thông tin cần thiết khác khi
sử dụng điện thoại
SMS
Short Message Service
Dịch vụ tin nhắn ngắn
SOAP
Simple Object Access Protocol Một tiêu chuẩn của W3C, là
giao thức sử dụng XML để
định nghĩa dữ liệu dạng thuần
văn bản (plain text) thông qua
HTTP
UMTS
Universal Mobile Telecommu- Hệ thống viễn thông di động
nications System
toàn cầu
W3C
World Wide Web Consortium
Tổ chức lập ra các chuẩn cho
Internet
XML
eXtensible Markup Language
Ngôn ngữ Đánh dấu Mở rộng
GVHD: TS. Nguyễn Anh Tuấn
SVTH: Nguyễn Thành Vinh - Lê Văn Thương
DANH MỤC THUẬT NGỮ CHUYÊN NGÀNH
xv
Danh mục thuật ngữ chuyên ngành
Từ tiếng Anh
Giải thích
accelerator sensor
Cảm biến gia tốc
database
Cơ sở dữ liệu
mobile forensics
Khoa học về phục hồi bằng chứng kỹ thuật số
từ một điện thoại di động theo các điều kiện
pháp lý bằng cách sử dụng các phương pháp
được chấp nhận
logs
File lưu trữ tin thông báo, lỗi khi một ứng dụng
đang chạy
phishing
Lừa đảo trực tuyến
rooted/rooting
Hành động cho phép thiết bị đạt được quyền
hạn root user
smartphone
Điện thoại thông minh
spyware
Phần mềm gián điệp
target
Mục tiêu tấn công
GVHD: TS. Nguyễn Anh Tuấn
SVTH: Nguyễn Thành Vinh - Lê Văn Thương
CHƯƠNG 1. GIỚI THIỆU ĐỀ TÀI
1
Chương 1: Giới thiệu đề tài
1.1
Tên đề tài
Xây dựng hệ thống quản lý bảo mật trên Android Smartphones.
1.2
Từ khóa
An ninh thông tin, lỗ hổng bảo mật, bảo vệ dữ liệu, mobile theft, anti-theft,
định vị toàn cầu GPS, Android rooting, mobile forensics, phone finding.
1.3
Mục tiêu đề tài và các vấn đề đặt ra
Để giới thiệu ý tưởng chính, tác giả xin giới thiệu một “kịch bản” minh họa
cho các vấn đề trong khóa luận này.
Mạnh là một doanh nhân thành đạt. Anh thường xuyên đi công tác khắp các
tỉnh thành cả nước. Mạnh sử dụng smartphone để hỗ trợ cho công việc của mình.
Tất cả các thông tin liên lạc của khách hàng, thông tin hoạt động của doanh
nghiệp, lịch hẹn, lịch làm việc Mạnh đều lưu trữ trong chiếc di động đó. Mạnh
thường xuyên giao tiếp với khách hàng qua email, mạng xã hội và qua các cuộc
hội thoại (phone calls). Điện thoại của Mạnh được cài đặt một phần mềm quản
lý bảo mật.
Trong một lần công tác tại thành phố Hồ Chí Minh, Mạnh bị tội phạm đường
phố giật mất điện thoại (một trong những loại hình phạm tội phổ biến tại thành
phố này). Trong chiếc điện thoại này có những dữ liệu quan trọng về công ty và
khách hàng, nếu bị kẻ xấu lợi dụng sẽ ảnh hưởng rất lớn đến uy tín cũng như
công việc của Mạnh.
Ngay lúc đó, Mạnh mượn điện thoại một đồng nghiệp và nhắn tin đến số thuê
bao vừa bị mất. Tin nhắn này yêu cầu phần mềm bảo mật thực hiện sao lưu và
xóa tất cả những thông tin quan trọng trên điện thoại (thông tin tài khoản, danh
bạ, tin nhắn, tài khoản mạng xã hội,...), sau đó gửi các file sao lưu về email của
GVHD: TS. Nguyễn Anh Tuấn
SVTH: Nguyễn Thành Vinh - Lê Văn Thương
CHƯƠNG 1. GIỚI THIỆU ĐỀ TÀI
2
Mạnh. Đồng thời, anh yêu cầu nhà cung cấp dịch vụ khóa thẻ SIM của anh để
tránh bị sử dụng trái phép. Vì thế mà thông tin cá nhân của anh được đảm bảo
an toàn.
Vài ngày sau, Mạnh được thông báo qua email rằng có một thuê bao đang sử
dụng điện thoại của anh. Thông tin bao gồm số thuê bao, tên, số chứng minh
nhân dân của chủ thuê bao. Mạnh gửi tin nhắn nặc danh đến số điện thoại này
và nhận được thông tin về địa chỉ hiện tại của chủ thuê bao, cũng như các thông
tin về tài khoản email, tài khoản mạng xã hội và một số hình ảnh. Cung cấp
các thông tin này cho cơ quan chức năng, Mạnh đã lấy lại được điện thoại của
mình.
Phần mềm quản lý bảo mật mà Mạnh sử dụng đã giúp anh yên tâm về dữ
liệu của mình, cũng như giúp anh tìm lại thiết bị.
Dựa vào tình huống thực tế trên, khóa luận được xây dựng để nghiên cứu và
phát triển một hệ thống quản lý bảo mật nhằm: bảo vệ và quản lý dữ liệu trên
thiết bị; phát hiện và cảnh báo nguy cơ trộm cắp thiết bị; truy tìm thiết bị; thu
thập dữ liệu cho cơ quan chức năng trong quá trình điều tra.
Theo đó, khóa luận này nhằm mục đích giải quyết các vấn đề nghiên cứu
sau:
1. Làm thế nào để nhận dạng một thiết bị (điện thoại di động)? Các cách
thức để vô hiệu hóa một thiết bị? Trong trường hợp thiết bị không thể vô
hiệu hóa vật lý, làm cách nào để bảo vệ dữ liệu và thiết bị này?
2. Trong trường hợp thiết bị ngoài tầm kiểm soát (bị trộm cắp, thất lạc,. . . ),
làm cách nào để biết ai đang sử dụng thiết bị của mình và sử dụng nó
như thế nào? Cách thức liên lạc từ xa giữa người sử dụng và thiết bị trong
trường hợp này ra sao?
3. Cách thức nào để lấy thông tin chủ thuê bao đang sử dụng thiết bị cũng
như vị trí hiện tại và các dữ liệu quan trọng của thiết bị? Chúng có ảnh
hưởng như thế nào đến mobile forensics?
4. Điện thoại thông minh, đặc biệt điện thoại rooted có những nguy cơ bảo
mật nào? Khai thác những lỗ hổng đó để phục vụ lĩnh vực mobile forensics
ra sao?
5. Xây dựng một hệ thống quản lý bảo mật cần có những tính năng nào? Mô
hình và cách thức hoạt động của hệ thống ra sao?
GVHD: TS. Nguyễn Anh Tuấn
SVTH: Nguyễn Thành Vinh - Lê Văn Thương
CHƯƠNG 1. GIỚI THIỆU ĐỀ TÀI
1.4
3
Đối tượng áp dụng và phạm vi của đề tài
Trọng tâm của khóa luận đề cập đến việc quản lý và bảo mật dữ liệu trong
các trường hợp thiết bị ngoài tầm kiểm soát, bị trộm cắp, hoặc hư hỏng. Khóa
luận không đề cập đến các trường hợp mất mát dữ liệu khác (do sự phá hoại
của các phần mềm virus, malware, trojan hoặc do các hành vi lừa đảo). Khóa
luận chỉ tập trung nghiên cứu hệ thống quản lý bảo mật nhằm phục vụ việc
bảo vệ dữ liệu, cảnh báo và phòng chống trộm cắp, tìm kiếm điện thoại, thu
thập thông tin phục vụ công tác điều tra. Khóa luận không đề cập đến trường
hợp sử dụng hệ thống cho các mục đích khác.
Cụ thể hơn, khóa luận phát triển hệ thống trên nền tảng Android, dựa trên
hạ tầng mạng GSM và UMTS, một số tính năng chỉ áp dụng trong nước Việt
Nam. Giả sử rằng điện thoại của người sử dụng đã được rooted (vấn đề này sẽ
được nghiên cứu trong các chương sau).
Khóa luận được xây dựng trên nền tảng kiến thức lập trình cơ bản, kiến thức
hệ thống mạng và các dịch vụ mạng.
Hệ thống được xây dựng nhằm phục vụ người dùng trong công tác quản lý
và bảo vệ dữ liệu và thiết bị. Ngoài ra, hệ thống còn có thể được sử dụng bởi
các cơ quan pháp chứng trong điều tra tội phạm; các nhà nghiên cứu trong lĩnh
vực mobile forensics.
1.5
Đối tượng nghiên cứu
Trong giới hạn đề tài này, khóa luận sẽ thực hiện nghiên cứu các đối tượng
sau:
• Đặc tính của các sản phẩm hấp dẫn tội phạm (HOT Products) và đặc tính
của sản phẩm an toàn IN SAFE HANDS [23].
• Thu thập dữ liệu, mobile forensics và các vấn đề liên quan.
• Xây dựng hành vi và mô hình hoạt động của hệ thống quản lý bảo mật.
• Lợi ích và nguy cơ về bảo mật khi rooting điện thoại Android.
GVHD: TS. Nguyễn Anh Tuấn
SVTH: Nguyễn Thành Vinh - Lê Văn Thương
CHƯƠNG 1. GIỚI THIỆU ĐỀ TÀI
1.6
4
Phương pháp nghiên cứu
Khóa luận được thực hiện trên cơ sở nghiên cứu về mức độ quan trọng của
dữ liệu trên điện thoại di động và tương quan với tình hình mất an toàn thông
tin để xác định cần thiết phải xây dựng một hệ thống quản lý, bảo vệ dữ liệu.
Khóa luận cũng thực hiện tìm hiểu và nghiên cứu đặc tính sản phẩm HOT
Products và đặc tính của sản phẩm an toàn IN SAFE HANDS từ những công
trình nghiên cứu trước đó để xác định các yêu cầu và định hướng xây dựng một
hệ thống quản lý bảo mật tốt. Ngoài ra, khóa luận cũng thực hiện tìm hiểu
về hệ điều hành Android, nghiên cứu vấn đề mobile forensics, nghiên cứu về
Android root access, dịch vụ mạng và web service làm nền tảng kiến thức thực
hiện xây dựng và phát triển hệ thống quản lý bảo mật trên thiết bị sử dụng
nền tảng Android.
Trong khóa luận này, nhóm tác giả sử dụng phương pháp phân tích, phương
pháp mô phỏng, phương pháp nghiên cứu thực tiễn làm phương pháp nghiên
cứu chủ đạo nhằm làm rõ thực trạng an toàn thông tin, vấn đề quản lý bảo vệ
dữ liệu, tìm kiếm thiết bị, trinh sát thông tin,. . . từ đó xây dựng một hệ thống
quản lý bảo mật hoàn chỉnh trên Android smartphones.
1.7
Đóng góp của đề tài
Qua quá trình nghiên cứu, khóa luận đạt được một số kết quả như sau:
• Trong thực tiễn:
Xây dựng thành công hệ thống quản lý bảo mật điện thoại nhằm: bảo vệ
dữ liệu, thiết bị; cảnh báo nguy cơ và chống trộm; tìm kiếm thiết bị; thu
thập thông tin phục vụ công tác điều tra. Hệ thống được xây dựng thiết
thực trong môi trường thực tiễn Việt Nam hiện nay.
• Trong nghiên cứu:
– Khóa luận đã tìm hiểu và tổng hợp các nghiên cứu trên thế giới về các
sản phẩm HOT Products và đặc tính của một sản phẩm an toàn IN
SAFE HANDS làm nền tảng lý thuyết để từ đó xây dựng thành công
hệ thống quản lý bảo mật trên.
– Khóa luận đã đề ra được các phương pháp, cách thức để bảo vệ dữ
liệu, thu thập các dữ liệu quan trọng để phục vụ công tác nghiên cứu
GVHD: TS. Nguyễn Anh Tuấn
SVTH: Nguyễn Thành Vinh - Lê Văn Thương
CHƯƠNG 1. GIỚI THIỆU ĐỀ TÀI
5
và điều tra tội phạm.
– Khóa luận chỉ ra được nguy cơ bảo mật nghiêm trọng khi sử dụng điện
thoại thông minh trong các trường hợp đã rooted. Qua đó, khóa luận đã
đưa ra lời khuyên cho người dùng cân nhắc trước khi thực hiện rooting
thiết bị của mình.
1.8
Cấu trúc khóa luận
Báo cáo khóa luận được cấu trúc như sau:
Chương 1 giới thiệu tổng quan về đề tài nghiên cứu, mục đích nghiên cứu,
phạm vi nghiên cứu, các vấn đề cần giải quyết và các kết quả đạt được.
Chương 2 nêu lên mức độ nghiêm trọng của tình hình an toàn thông tin trên
điện thoại di động. Từ đó, nghiên cứu các phương pháp để bảo vệ dữ liệu, thiết
kế mô hình hệ thống quản lý bảo mật điện thoại. Đồng thời, chương này cũng
đi khảo sát các hệ thống đã được phát triển, khái quát các kiến thức, công nghệ
liên quan, giới thiệu cách tiếp cận của khóa luận để giải quyết vấn đề.
Chương 3 đề ra các đặc tả yêu cầu của hệ thống, thiết kế kiến trúc và mô
hình hệ thống và đề ra giải thuật cho các vấn đề được nêu ở chương 1.
Chương 4 trình bày việc hiện thực các thiết kế từ chương 3, hiện thực các
giải thuật, giới thiệu giao diện ứng dụng. Cuối chương là phần đánh giá chi tiết
về hệ thống được phát triển trong khóa luận.
Cuối cùng, các tác giả tổng kết đề tài trong chương 5, nêu lên ý nghĩa của
đề tài và đưa ra hướng phát triển tiếp theo.
GVHD: TS. Nguyễn Anh Tuấn
SVTH: Nguyễn Thành Vinh - Lê Văn Thương