Bên cạnh những giá trị to lớn mà các ứng dụng di động mang lại, thì nó cũng có nhiều nguy cơ tiềm ẩn như: Do ứng dụng di động được cài đặt trực tiếp trên máy của người dùng, dẫn đến các ứng dụng có thể bị dịch ngược, tiết lộ thông tin, lấy cắp thông tin cá nhân của người dùng, phát tán mã độc. Ứng dụng di động thường cung cấp các dịch vụ tiện ích có lợi ích về tài chính (Nạp tiền, thanh toán trực tuyến, mua hàng…), dẫn đến những nguy cơ về thất thoát, trộm cắp, gian lận tài chính.
Vì vậy, cần phải tìm ra lỗ hổng bảo mật của ứng dụng trước khi kẻ tấn công tìm được là điều vô cùng quan trọng. Bài báo này sẽ trình bày phương pháp, quy trình tìm lỗi của ứng dụng di động, áp dụng với những ứng dụng sắp triển khai, đã triển khai và đang vận hành.
Phương pháp thực hiện
Có hai phương pháp đánh giá ứng dụng di động là phương pháp phân tích động và phương pháp phân tích tĩnh.
Phương pháp phân tích động
Hướng tiếp cận của phương pháp này là cài đặt trực tiếp ứng dụng lên môi trường đánh giá, thực hiện duyệt tất cả các chức năng của chương trình, đồng thời sử dụng các công cụ để giám sát, thay đổi dữ liệu của chương trình đánh giá bằng cách duyệt tất cả các chức năng của chương trình. Phương pháp này sẽ giám sát tất cả kết nối giữa ứng dụng và máy chủ, xác định lỗi của chương trình.
Các bước đánh giá gồm: Xây dựng môi trường chạy ứng dụng; Xác định các chức năng và các kết nối của ứng dụng; Liệt kê tất cả các điểm đầu vào ứng dụng; Xác định khả năng tấn công; Xác định khả năng mắc lỗi.
Xây dựng môi trường chạy ứng dụng:
Môi trường chạy ứng dụng là một phần rất quan trọng để thực hiện đánh giá ứng dụng, nếu môi trường đánh giá không đáp ứng đủ chức năng của ứng dụng, thì việc đánh giá sẽ rất khó khăn và không thể đánh giá hết được các chức năng của ứng dụng. Việc xây dựng môi trường chạy ứng dụng gồm hai phần chính là, thiết lập môi trường mạng và cài đặt ứng dụng lên môi trường thử nghiệm.
Xác định các chức năng và các kết nối của ứng dụng:
Bước này cần duyệt tất cả chức năng của ứng dụng thông qua proxy. Kết thúc bước này cần xây dựng cấu trúc cây thư mục của ứng dụng. Cây bao gồm các file, thư mục, các request/response, URL phục vụ cho việc tìm điểm vào ứng dụng.
Xác định khả năng tấn công:
Bước này tiến hành phân tích từng điểm vào ứng dụng, xác định điểm vào đó có thể mắc lỗi gì không. Mục đích là xác định khả năng tấn công ứng dụng; ánh xạ giữa cấu trúc bên trong và chức năng của ứng dụng ở phía máy chủ. Ví dụ, một chức năng đăng ký tài khoản người dùng thì chắc chắn có tương tác tới database.
Với mỗi điểm vào ứng dụng thu được ở trên, nhận diện các lỗi thông dụng thường xuất hiện ở chúng. Cụ thể như sau:
Nếu ứng dụng sử dụng nền tảng do bên thứ ba cung cấp, thì tiến hành tìm kiếm những lỗ hổng bảo mật đã được công bố tại: www.osvdb.org.
Kiểm tra khả năng mắc lỗi:
Dựa vào thông tin về điểm vào, tiến hành kiểm tra khả năng mắc lỗi với từng điểm vào ứng dụng.
Phương pháp phân tích tĩnh
Khi thực hiện cần dịch ngược ứng dụng, nhằm mục đích xác định những lỗi liên quan đến lập trình không an toàn. Quá trình thực hiện phân tích tĩnh phụ thuộc vào đặc trưng của từng loại ứng dụng, các bước chính để thực hiện bước này bao gồm: Dịch ngược ứng dụng; Liệt kê file thư mục, dịch vụ, môđun của ứng dụng; Xác định lỗi.
Dịch ngược ứng dụng:
Mục đích dịch ngược chương trình sang mã nguồn có thể dễ dàng đọc phục vụ cho việc xác định lỗi của chương trình.
Liệt kê file thư mục, dịch vụ, môđun của ứng dụng:
Khi giải nén, dịch ngược chương trình nếu xác định có những tệp tin thư mục không phải là những tệp tin thư mục cơ bản của nền tảng ứng dụng cần đánh giá, thì người đánh giá cập nhật tên tệp tin và thư mục đó vào bảng danh sách tệp tin thư mục của chương trình để phục vụ cho việc xác định lỗi.
Xác định lỗi:
Dựa vào thông tin về các tệp tin thư mục và các thành phần dịch vụ được xác định ở trên, ta tiến hành kiểm tra khả năng mắc lỗi với từng nội dung.
Điện thoại di động là nơi chứa rất nhiều các thông tin nhạy cảm của mỗi cá nhân. Chính vì vậy, việc đảm bảo an toàn thông tin cho các ứng dụng di động là rất quan trọng và cần được chú trọng. Thực tế cho thấy, nếu như không quan tâm đến các lỗ hổng trên các ứng dụng di động, thì hậu quả rất nghiêm trọng. Kẻ tấn công có thể lợi dụng các lỗ hổng, điểm yếu an ninh để tấn công vào các hệ thống bên trong, lấy cắp hoặc phá hoại những dữ liệu quan trọng.
Một ứng dụng di động sau khi được kiểm tra đánh giá sẽ đạt được rất nhiều lợi ích: xác định khả năng bị tấn công của hệ thống, khả năng kết hợp các nguy cơ nhỏ và nguy cơ lớn, cung cấp hiện trạng bảo mật của đối tượng và đưa ra các giải pháp kiện toàn để khắc phục. Tình hình an ninh mạng phức tạp như hiện nay thì việc kiểm tra đánh giá để khắc phục các lỗ hổng bảo mật là điều vô cùng quan trọng.
Hồ Thị Thu Hiền
14:00 | 12/09/2018
13:00 | 28/06/2018
16:00 | 25/04/2024
Chiều 24/4, tại Diễn đàn thường niên “Blockchain và AI: Cuộc cách mạng tương lai”, Hiệp hội Blockchain Việt Nam đã chính thức ra mắt Viện Công nghệ Blockchain và Trí tuệ Nhân tạo (ABAII).
13:00 | 15/04/2024
Hội thảo quốc tế IEEE lần thứ nhất về mật mã và an toàn thông tin (VCRIS 2024) dự kiến sẽ được tổ chức trong 02 ngày 03-04/12/2024 tại Học viện Kỹ thuật mật mã, Ban Cơ yếu Chính phủ. Hội thảo nhằm mục đích tạo lập và phát triển môi trường trao đổi học thuật, thúc đẩy các hoạt động nghiên cứu khoa học cơ bản, khoa học ứng dụng về mật mã và an toàn thông tin tại Việt Nam và thế giới.
08:00 | 12/03/2024
Dữ liệu nhạy cảm của Chính phủ Thụy Sĩ, bao gồm các tài liệu mật và thông tin đăng nhập cá nhân đã bị nhóm mã độc tống tiền Play tiết lộ sau một cuộc tấn công vào nhà cung cấp dịch vụ công nghệ thông tin Xplain vào năm 2023.
09:00 | 13/02/2024
Các cuộc tấn công APT (Advanced Persistent Threat) hiện nay là một trong những mối đe dọa nguy hiểm nhất vì chúng sử dụng các công cụ và kỹ thuật phức tạp, đồng thời thường nhắm đến những đối tượng, mục tiêu có giá trị và khó phát hiện. Trong bối cảnh căng thẳng địa chính trị leo thang, những cuộc tấn công mạng tinh vi này thậm chí trở nên khó lường hơn. Nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT) đã tiến hành giám sát một số nhóm tin tặc APT, phân tích xu hướng và dự đoán hoạt động trong tương lai để đón đầu bối cảnh mối đe dọa ngày càng gia tăng. Trong bài báo này sẽ đưa ra dự đoán xu hướng các mối đe dọa APT trong năm 2024 dựa trên báo cáo của GReAT.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Đoàn Công tác số 8 đi thăm các chiến sĩ và nhân dân trên quần đảo Trường Sa đã thành công tốt đẹp. Hành trình để lại nhiều cảm xúc với các thành viên đoàn công tác nhất là khi tham dự những buổi Lễ đặc biệt như: Lễ Giỗ Tổ Hùng Vương, Lễ dâng hương tưởng niệm các anh hùng liệt sĩ hi sinh khi làm nhiệm vụ trên quần đảo Trường Sa, Lễ chào cờ trên đảo Trường Sa.
11:00 | 26/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Apple đang đàm phán để sử dụng công cụ Gemini AI của Google trên iPhone, tạo tiền đề cho một thỏa thuận mang tính đột phá trong ngành công nghiệp AI.
11:00 | 26/04/2024
