Luận văn thạc sĩ về bảo mật cho điện thoại di động

Luận văn thạc sĩ nghiên cứu vnu securite pour les telephones portables, khảo sát thực trạng, phân tích nguyên nhân, đề xuất giải pháp cải thiện thực tiễn.

Trường đại học

Institut de la Francophonie Ecole Nationale Supérieure pour l Informatique des Télécommunications

Chuyên ngành

Informatique

Người đăng

Ẩn danh

Thể loại

Rapport de stage de fin d'études

2005

78
2
0

Phí lưu trữ

30 Point

Mục lục chi tiết

1. CHAPITRE 1: INTRODUCTION

2. CHAPITRE 2: SYSTÈMES EMBARQUÉS SÉCURISÉS : UN DÉFI

2.1. Exigences de sécurité

2.2. Défis de conception d un système embarqué sécurisé

2.3. Attaques sur le système embarqué

3. CHAPITRE 3: TÉLÉPHONES PORTABLES

3.3. Interfaces entre le téléphone portable et la SIM

3.4. Communication par GSM

4. CHAPITRE 4: SYSTÈME D EXPLOITATION SYMBIAN

4.1. Sécurité au niveau de l OS

4.2. Cryptographie et chiffrement

4.3. Système de fichiers

4.4. Gestion de mémoire

4.5. Sécurité des applications du téléphone portable

5. CHAPITRE 5: AMÉLIORER LA SÉCURITÉ DES TÉLÉPHONES PORTABLES

5.1. Renforcer la sécurité des téléphones portables

5.2. Utilisation systématique des composants matériels dédiés sécurité

5.3. Sécurité du code

5.4. Gestion du niveau de sécurité des applications et services

ANNEXE : VÉRIFICATION DE CODE D OCTET JAVA

appendix.1. Vue d ensemble de la JVM et de vérification de code d octet

appendix.2. Approches et algorithmes

appendix.2.1. Analyse de flux de données

appendix.2.2. Vérification de l initialisation d objet

appendix.2.3. Problèmes des sous-programmes

appendix.2.4. Vérification de modèles

appendix.2.5. Vérification pour les dispositifs mobiles

appendix.3. Vérification légère de code d octet

appendix.4. Vérification pour Java Smart Card

Tóm tắt

I. Tổng quan về bảo mật cho điện thoại di động Tại sao cần thiết

Bảo mật cho điện thoại di động ngày càng trở nên quan trọng trong bối cảnh công nghệ phát triển nhanh chóng. Các thiết bị di động không chỉ là công cụ liên lạc mà còn là kho lưu trữ thông tin cá nhân nhạy cảm. Việc bảo vệ thông tin này khỏi các mối đe dọa như virus, phần mềm độc hại và tấn công mạng là rất cần thiết. Theo một nghiên cứu của IFI, sự gia tăng sử dụng smartphone đã dẫn đến nhiều lỗ hổng bảo mật, khiến người dùng dễ bị tổn thương hơn bao giờ hết.

1.1. Tại sao bảo mật điện thoại di động lại quan trọng

Bảo mật điện thoại di động không chỉ bảo vệ thông tin cá nhân mà còn đảm bảo an toàn cho các giao dịch tài chính. Người dùng cần nhận thức rõ về các mối đe dọa tiềm ẩn từ việc sử dụng thiết bị di động trong cuộc sống hàng ngày.

1.2. Các mối đe dọa chính đối với điện thoại di động

Các mối đe dọa chính bao gồm virus, phần mềm độc hại, tấn công phishing và các lỗ hổng bảo mật trong ứng dụng. Những mối đe dọa này có thể dẫn đến mất mát dữ liệu và thiệt hại tài chính cho người dùng.

II. Các thách thức trong bảo mật thông tin di động hiện nay

Mặc dù có nhiều giải pháp bảo mật, nhưng vẫn tồn tại nhiều thách thức trong việc bảo vệ thông tin trên điện thoại di động. Các thiết bị ngày càng trở nên phức tạp, và việc cập nhật phần mềm thường xuyên là một vấn đề lớn. Nhiều người dùng không thực hiện các biện pháp bảo mật cơ bản như cài đặt phần mềm bảo mật hoặc cập nhật hệ điều hành.

2.1. Thiếu nhận thức về bảo mật

Nhiều người dùng không nhận thức được tầm quan trọng của việc bảo mật thông tin cá nhân trên điện thoại di động. Điều này dẫn đến việc họ không thực hiện các biện pháp bảo vệ cần thiết.

2.2. Các lỗ hổng trong phần mềm

Phần mềm trên điện thoại di động thường xuyên có các lỗ hổng bảo mật. Việc không cập nhật phần mềm kịp thời có thể tạo cơ hội cho các hacker tấn công.

III. Giải pháp bảo mật cho điện thoại di động Các phương pháp hiệu quả

Để bảo vệ thông tin trên điện thoại di động, người dùng có thể áp dụng nhiều giải pháp bảo mật khác nhau. Việc sử dụng phần mềm bảo mật, mã hóa dữ liệu và thực hiện các biện pháp bảo vệ vật lý là những cách hiệu quả để giảm thiểu rủi ro.

3.1. Sử dụng phần mềm bảo mật

Cài đặt phần mềm bảo mật giúp phát hiện và ngăn chặn các mối đe dọa từ virus và phần mềm độc hại. Các ứng dụng này thường cung cấp tính năng quét và bảo vệ thời gian thực.

3.2. Mã hóa dữ liệu trên điện thoại

Mã hóa dữ liệu giúp bảo vệ thông tin cá nhân khỏi việc truy cập trái phép. Người dùng nên sử dụng các ứng dụng hỗ trợ mã hóa để bảo vệ thông tin nhạy cảm.

IV. Ứng dụng thực tiễn và kết quả nghiên cứu về bảo mật di động

Nghiên cứu cho thấy rằng việc áp dụng các biện pháp bảo mật hiệu quả có thể giảm thiểu đáng kể các rủi ro liên quan đến bảo mật thông tin trên điện thoại di động. Các tổ chức và cá nhân đã thực hiện các biện pháp bảo vệ đã ghi nhận sự giảm thiểu các sự cố bảo mật.

4.1. Các nghiên cứu điển hình về bảo mật di động

Nhiều nghiên cứu đã chỉ ra rằng việc sử dụng phần mềm bảo mật và mã hóa dữ liệu đã giúp giảm thiểu các vụ tấn công thành công trên điện thoại di động.

4.2. Kết quả từ các tổ chức bảo mật

Các tổ chức bảo mật đã công bố rằng việc áp dụng các biện pháp bảo mật cơ bản có thể giảm thiểu rủi ro lên đến 70% trong việc bảo vệ thông tin cá nhân.

V. Kết luận và tương lai của bảo mật điện thoại di động

Bảo mật cho điện thoại di động sẽ tiếp tục là một vấn đề quan trọng trong tương lai. Với sự phát triển của công nghệ, các mối đe dọa cũng sẽ ngày càng tinh vi hơn. Người dùng cần phải luôn cập nhật kiến thức và áp dụng các biện pháp bảo mật mới nhất để bảo vệ thông tin cá nhân.

5.1. Tương lai của bảo mật di động

Dự báo rằng trong tương lai, các công nghệ bảo mật mới sẽ được phát triển để đối phó với các mối đe dọa ngày càng gia tăng. Việc sử dụng trí tuệ nhân tạo trong bảo mật di động sẽ trở thành xu hướng.

5.2. Lời khuyên cho người dùng

Người dùng nên thường xuyên cập nhật phần mềm, sử dụng các ứng dụng bảo mật và luôn cảnh giác với các mối đe dọa tiềm ẩn để bảo vệ thông tin cá nhân.

22/07/2025

Trích đoạn nội dung tài liệu

Institut de la Francophonie Ecole Nationale Supérieure pour l Informatique des Télécommunications RAPPORT DE STAGE DE FIN D ETUDES Sujet : SECURITE POUR LES TELEPHONES PORTABLES Etudiant : Responsable : Pham Viet Tan Nguyen, IFI Patrick Bellot, ENST Paris, janvier 2005 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 2 Remerciements Je tiens à remercier particulièrement Monsieur Patrick Bellot, Professeur du Département Informatique et Réseaux (INFRES), l Ecole Nationale Supérieure des Télécommunications (ENST), pour m avoir accueilli et m avoir bien encadré pendant toute la durée du stage. J aimerais remercier sincèrement Monsieur Michel Riguidel, Responsable du Département Informatique et Réseaux, l Ecole Nationale Supérieure des Télécommunications (ENST), de ses conseils professionnels et de m a donné des meilleures conditions de travail au cours du stage. J exprime également mes vifs remerciements à Monsieur Charles Durand, Directeur de l Institut de la Francophonie pour l Informatique (IFI), d avoir préparé mon stage. Finalement, je remercie aussi vivement toutes les personnes de l ENST et de l IFI, particulièrement les thésards et les stagiaires de l INFRES, qui m ont porté leur amitié.

LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 3 Table des matières Remerciements. 2 Table des matières. 6 Liste des figures. 8 Chapitre 2: Systèmes embarqués sécurisés : un défi .1 Exigences de sécurité.2 Défis de conception d un système embarqué sécurisé .3 Attaques sur le système embarqué.

15 Chapitre 3: Téléphones portables .3 Interfaces entre le téléphone portable et la SIM.4 Communication par GSM. 21 Chapitre 4: Système d exploitation Symbian .1 Sécurité au niveau de l OS .2 Cryptographie et chiffrement.3 Système de fichiers .4 Gestion de mémoire.3 Sécurité des applications du téléphone portable. 35 Chapitre 5: Améliorer la sécurité des téléphones portables.1 Renforcer la sécurité des téléphones portables .1 Utilisation systématique des composants matériels dédiés sécurité .2 Sécurité du code.3 Gestion du niveau de sécurité des applications et services. 44 Annexe : Vérification de code d octet Java .2 Vue d ensemble de la JVM et de vérification de code d octet.3 Approches et algorithmes .1 Analyse de flux de données .2 Vérification de l initialisation d objet.3 Problèmes des sous-programmes .4 Vérification de modèles .4 Vérification pour les dispositifs mobiles.

67 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.1 Vérification légère de code d octet .2 Vérification pour Java Smart Card. 72 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 5 Résumé Le problème de la sécurité des téléphones portables connaît un regain d intérêt depuis l année 2003 avec la généralisation des plates-formes Symbian OS et Windows CE : leur richesse et leurs failles dans le modèle de sécurité permettent aux attaquants de réaliser des opérations malveillantes comme le ver Cabir et récemment Skulls pour Symbian OS et le ver Dust pour Windows CE. Ce travail a pour but de faire une étude profonde sur les problèmes de sécurité des téléphones portables, notamment ceux qui utilisent le système d'exploitation Symbian et le réseau GSM. Nous nous concentrons sur les raisons pour lesquelles la sécurité des téléphones portables n'est pas actuellement garantie à fin de proposer une approche globale de la sécurité.

Cette approche passe par la définition d une architecture de sécurité intégrant le téléphone, la SIM, les services de sécurité, et s appuyant sur la certification du code des applications natives ou sensibles. Un autre intérêt du stage est la vérification de code d octet Java qui donne la possibilité de prévoir le comportement des programmes avant leur exécution réelle. Le stage est réalisé dans le cadre du grand projet européen SEINIT auquel l ENST participe. Mots clés : Sécurité des téléphones portables, Symbian, virus, attaques logicielles, informatique de confiance, vérification de code d octet.

LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 6 Abstract The security problem of mobile phones has taken a lot of interests from 2003 with the generalization of platforms Symbian OS and Windows CE: their richness and weakness in the security model allow attackers realize many malicious operations like the worms Cabir and recently Skulls in Symbian OS or Dust in Windows CE. The purpose of this work is to make a survey on security problems of mobile phones, particularly which use the operating system Symbian and GSM network. We concentrate on reasons for which the security of mobile phones is not currently guaranteed to propose a global approach of security. This approach goes through the definition of a security architecture integrating the phone, the SIM, the services and base on code certification of native or sensible applications.

Another interest of this internship is the problem of Java bytecode verification which gives the possibility to predict programs behavior before their real execution. This work is realized in the context of European project SEINIT, in which ENST is involved. Keywords: mobile phone security, Symbian, virus, software attack, Trusted Computing Base, bytecode verification. LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 7 Liste des figures Figure 1 Les exigences de sécurité pour un smartphone.

10 Figure 2 Les exigences communes de sécurité de systèmes embarqués. 11 Figure 3 Les attaques sur les systèmes embarqués. 15 Figure 4 L'architecture logicielle du téléphone portable. 18 Figure 5 La communication par GSM.

22 Figure 6 L'architecture de l'OS Symbian v8. 24 Figure 7 Le constructeur de deux phases (droit) dans le Symbian et le constructeur standard (gauche). 28 Figure 8 Exemple de code source Java et le code d octet correspondant. 47 Figure 9 Quelques expressions de types utilisées par le vérificateur et leur relation de sous- type.

50 Figure 10 Exemple de sous-programme et le code d'octet correspondant. 58 Figure 11 Flux de contrôle dans l'approche de vérification de modèles. 67 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 8 Chapitre 1: Introduction Aujourd'hui, les dispositifs mobiles apparaissent sous différentes formes et caractéristiques. Un dispositif mobile typique utilise un système d'exploitation qui permet l'installation de logiciels de producteurs tiers.

La plupart des produits ont aussi des logiciels préinstallés pour la gestion des informations personnelles telles que des applications de carnet d'adresses ou de calendrier. Quelques dispositifs incluent des applications préinstallées comme des browsers, des applications de traitement de textes, des programmes de courrier électronique, etc. Ces dispositifs sont connus généralement sous le nom d'assistant numérique personnel (PDA par la suite). Pour échanger des données avec les ordinateurs de bureau, les autres PDAs ou le réseau local, les PDA sont souvent incluent les mécanismes de communication (série, IrDA, BlueTooth, réseau local sans fil).

En plus de la fonctionnalité standard de PDAs, le smartphone ajoute un téléphone portable intégré. Cette intégration permet aux utilisateurs de porter un seul dispositif au lieu d'un portable et d'un PDA. Le sujet de la sécurité des dispositifs mobiles, en général, ou des téléphones portables, spécifiquement, n'est pas nouveau, en 2000, le virus VBS/Timofonica [52] avait pour charge d'envoyer des SMS1 aux abonnés du service Movistar. Ce virus se propageait toutefois exclusivement sur les ordinateurs personnels (PC par la suite) et n'avait pas d'impact sur les téléphones visés.

Depuis l'année 2003, le problème de la sécurité connaît un regain d'intérêt avec la généralisation des plates-formes Symbian OS [46] et Windows CE [35], qui sont beaucoup plus performantes en termes de programmation que les anciens téléphones propriétaires. La richesse de ces plates-formes et leurs failles dans le modèle de sécurité permettent aux attaquants de réaliser des attaques comme le ver Cabir [3] et récemment Skulls [42] pour Symbian OS et le ver Dust [13] pour Windows CE. Ce rapport a pour but de faire une enquête sur les problèmes de sécurité des téléphones portables, notamment les smartphones qui utilisent le système d'exploitation (OS par la suite) Symbian et le réseau GSM. Nous nous concentrons sur les raisons (les exigences de 1 SMS: Short Message Service.

LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 9 sécurité et les solutions existantes) pour lesquelles la sécurité des téléphones portables n'est pas actuellement garantie à fin de proposer une approche globale de la sécurité. Ce stage avait été intitulé dans un premier temps « Analyse de code d octet Java » qui a pour but de faire des études sur la vérification de code d octet Java et d écrire ensuite un analyseur (vérificateur) Java pour Symbian. Au cours de réalisation du stage, nous avons constaté que le but initial n est pas assez pour garantir la sécurité des téléphones portables (comme montré dans ce rapport), le sujet est devenu ensuite « Sécurité pour les téléphones portables ». Ce travail est réalisé dans le cadre d un grand projet, SEINIT (Security Expert Initiative, http://www.org), entre les universités et les entreprises européens, auquel l ENST participe.

L objectif de SEINIT est d assurer un cadre de sécurité et de confiance, fonctionnant sur de multiples dispositifs et sur des réseaux hétérogènes. Omniprésent, interopérable, ce cadre sera également centré autour de l utilisateur final. En particulier, SEINIT définira des modèles de confiance et de sécurité innovants afin de répondre aux nouveaux enjeux de l environnement numérique ambiant. Le reste de ce rapport se compose de cinq chapitres.

Le chapitre 2 aborde les exigences de sécurité pour le système embarqué en général ainsi des défis de conception et les attaques sur le système embarqué. Une anatomie de l'architecture des téléphones portables est donnée dans le chapitre 3. Le chapitre 4 concentre sur l'OS Symbian et le développement des applications dans cet environnement. Le chapitre 5 décrit les aspects pour le renforcement de la sécurité des téléphones portables.

Finalement, le rapport se termine par la dernière section avec de conclusion dans le chapitre 6. Ce rapport se compose également d une annexe abordant la vérification de code d octet Java. Nous décrivons des divers algorithmes et leurs problèmes principaux, par exemple dans l implémentation existante de Sun. LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 10 Chapitre 2: Systèmes embarqués sécurisés : un défi 2.1 Exigences de sécurité Les téléphones portables, spécifiquement ou les systèmes embarqués, en général, fournissent souvent les fonctions critiques qui pourraient être sabotées par des entités malveillantes.

Avant de discuter les exigences communes de sécurité des systèmes embarqués, il est important de noter qu'il y a beaucoup d'entités impliquées dans la chaîne de conception, de fabrication, et d'utilisation d'un système embarqué. Les exigences de sécurité changent selon les perspectives que nous considérons. Par exemple, considérons un smartphone2 qui est capable de communications de données, de multimédia, et de voix sans fils. Les exigences de sécurité selon les points de vue des différents participants sont comme suit : Utilisateur final Intimité et l intégrité des données personnelles Appels et transactions frauduleux Perte/vol Exécution sécurisée des applications téléchargées Fournisseur de contenu Sécurité de contenu, gestion des droits numériques Fournisseur de service des Communications sécurisées applications Non-répudiation Fournisseur de service Accès sécurisé au réseau Fabricant de téléphone Utilisation frauduleuse de service Fournisseur de logiciel et de Protection des propriétés intellectuelles matériel Figure 1 Les exigences de sécurité pour un smartphone.

Les soucis de l'utilisateur peuvent inclure la sécurité des données personnelles stockées et communiquées par le téléphone, pendant que l'inquiétude du fournisseur de contenu peut 2 Le mot smartphone est utilisé dans ce rapport comme une combinaison d un téléphone portable traditionnel et d un assistant numérique personnel (PDA). Les smartphones diffèrent des téléphones portables normaux sur le point qu ils ont un système d exploitation et le stockage local, pour que l utilisateur ou les encarteurs puissent ajouter l information et les applications comme les PDAs. LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 11 être la protection des contenus multimédias fournis au téléphone, et le fabricant de téléphone pourrait en plus s'intéresser au secret du logiciel de propriété industrielle qui réside dans le téléphone. Pour chacun de ces cas, l'ensemble des entités non sûres (potentiellement malveillantes) peut également changer.

Par exemple, dans la perspective du fournisseur de contenu, l'utilisateur du téléphone peut être une entité non sûre.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ