Проблеми захисту в ОС Android

Размещено на http://www.allbest.ru/

ЗМІСТ

ВСТУП

1. АНАЛІЗ ПРОБЛЕМ ЗАХИСТУ В ОС ANDROID

1.1 Місце ОС Android в загальній класифікації операційних систем

1.2 Основні загрози для ОС Android

1.3 Захист в ОС Android

2. РЕАЛІЗАЦІЯ І ТЕСТУВАННЯ ЗАХИСТУ В ОС ANDROID

2.1 Обгрунтування вибору програмних засобів для реалізації захисту

2.2 Розробка принципів роботи програмних засобів

2.2.1 Розробка схеми ресурсів

2.2.2 Розробка схеми програмного засобу

ВИСНОВКИ

ПЕРЕЛІК ВИКОРИСТАНИХ ДЖЕРЕЛ

Додаток А. Технічне завдання

Додаток Б. Лістинг програми



ВСТУП

android захист загроза тестування

Актуальність курсового проекту полягає у тому що операційна система Android одна з найпопулярніших операційних систем в всьому світі. Вона займає друге місце в світі, тому що вона є дуже функціональною і швидкодіючою. Операційну систему визнали одну з найменш захищеною файловою системою, але її актуальність не втратила своє місце серед користувачів. Ця операційна система дуже популярна серед молоді та користувачів які можуть гідно оцінити її мультимедійні та програмні якості.

Метою курсового проекту є розробка програмного засобу для захисту ресурсів операційної системи Android, які виступають як особиста інформація і особисті налаштування апаратної і програмної частини.

Задачі які виконуватимуться для досягнення мети курсового проекту:

дослідження проблем захисту в ОС Android;

дослідження ресурсів в ОС Android;

розробка схеми захисту ресурсів;

реалізація програмного засобу для захисту ресурсів.

У даному курсовому проекті буде реалізований метод захисту ресурсів ОС Android. Оскільки, обрана нами операційна система є найменш захищеною операційною системою серед інших мобільних операційних систем, тому, вона потребує стороннього захисту своїх ресурсів зі сторони користувача.



1. АНАЛІЗ ПРОБЛЕМ ЗАХИСТУ В ОС ANDROID

1.1 Місце ОС Android в загальній класифікації операційних систем

Операційна система - це базовий комплекс програмного забезпечення, що виконує управління апаратним забезпеченням комп'ютера або віртуальної машини. Також забезпечує керування обчислювальним процесом і забезпечує дружній інтерфейс для взаємодії з користувачем.

Рисунок 1 - Місце ОС Android у загальній класифікації операційних систем.

В курсовому проекті ми розглянемо операційну систему «Android».

Дана операційна система представляє собою універсальну та багатозадачну систему створену фірмою «Open Handset Alliance». Згодом проект операційної системи придбала компанія Google. Операційна система «Android» створена виключно для мобільних пристроїв та планшетних комп'ютерів. Операційна система стала дуже популярною серед молоді, і на даний момент створює досить немалу конкуренцію операційній системі «IOS» від дуже відомої фірми Apple. Пристрої які використовую операційну систему «Android» мають багато представників бюджетного класу, доступні людям середнього класу. Пристрої з операційною системою «Android» займають 70% на ринку України.

«Android» використовують такі популярні фірми як LG, Samsung, HTC, Sony, Lenovo, Motorola, Asus, Dell та багато інших популярних фірм.

Також операційна система відома в багатьох країнах Європи, Азії, Америки. Більша частина апаратів на операційній системі Android випускається в Китаї, Тайвані, та інших країнах виробників мобільних пристроїв.

Якщо порівняти ріні операційні системи то можна зрозуміти що ОС Android має як і переваги так і недоліки(табл. 1)

Таблиця 1 - Головні переваги і недоліки операційних систем

Найменування ОС	Особливості	Переваги	Недоліки
IOS	Доступна тільки на пристроях від компанії Apple	Дуже добре реалізований програмний захист ОС	Неможливість використовувати стороні додатки
Android	Має відкритий код операційної системи	Легкодоступне середовище для розробки різних додатків	Погано реалізований захист ОС
Windows Phone 8	Зручний інтерфейс для починаючих користувачів	Постіне оновлення і допрацювання операційної системи	Неможливість використовувати стороннє програмне забезпечення

У плані оформлення Android 4 і Windows Phone 8 кардинально відрізняються один від одного. У Android ми маємо п'ять робочих столів, на які можна вставити всілякі віджети, іконки та папки. Також є меню, де всі програми розташовані в 4 стовпчики. У Windows Phone 8 у нас є тільки один робочий стіл, який можна прокручувати вниз. Замість звичних іконок тут є так звані "тайли" - прямокутники, які, власне, і замінюють іконки. У тайлів можна міняти розміри і їх місце розташування. Меню в Windows Phone 8 являє собою довгий список з додатками.

В цілому, можна сказати, що обидві системи виглядають дуже оригінально, проте в Android можливості кастомізації набагато ширше.

Якщо порівнювати Android 4 і Windows Phone 8 по зручності використання, то тут явно перемагає Windows Phone. Навіть користувачеві, далекому від усього цього, буде легко зрозуміти всі тонкощі Windows Phone, так як налаштування тут дуже прості, а сама система інтуїтивно зрозуміла. В Android 4 налаштування набагато ширше, ніж у Windows Phone 8, сама система не така інтуїтивна. Тим не менш, більш-менш просунутим людям вникнути в Android 4 теж буде нескладно(рис 1.1).

Рисунок 1.1 - ОС Android і ОС Windows Phone 8

Якщо порівняти ОС Аndroid і всім відому операційну систему від компанії Apple - IOS, то, ми побачимо що і тут є свої переваги і недоліки.

У даному випадку Android має керовані іконки, які при необхідності можна перемістити з одного робочого столу на інший, збільшити або зменшити їх розмір. Віджети можна впорядкувати на робочому столі найбільш зручним для користувача чином. А ось у IOS такої можливості немає. Всі віджети знаходяться в спеціальному меню, і відкрити їх можна тільки увійшовши до нього. На робочий стіл встановити іконки не вийде.

У IOS, також як і у Android є багато можливостей. Ви можете переглянути список програм, які нещодавно використовувалися, видалити невживані і т. д. Однак у Android програми здатні до мультиуправління (як на комп'ютері). Вони будуть продовжувати свою роботу навіть «на задньому» плані, тобто в згорнутому вигляді. А ось IOS такою можливістю похвалитися не може, додатки відразу ж будуть автоматично вимикатися, як тільки користувач припинить їх використання. З однієї сторони це дуже добре, але з іншої сторони велика кількість оперативної пам'яті буде засмічена непотрібними програмами чи відметами(рис 1.2).

Рисунок 1.2 - Apple Iphone IOS 5 і ОС Android



1.2 Основні загрози для ОС Android

Одна з перших згадок про троянського коня належить до 4 серпня 2010 року. Саме в той день користувач відомого російського форуму 4pda.ru/forum, присвяченого мобільних телефонів, смартфонів та КПК, поскаржився на якусь програму-відеоплеєр, закачували з певного сайту. У дозволах до цієї програми була вказана робота з СМС, а точніше їх відправка - permission.SEND_SMS. Наступного дня на тому ж форумі ще один користувач повідомив про даному файлі.

Користувачі форуму відправили підозрілий файл в антивірусні компанії 5 серпня. Тоді ж Android.SmsSend.1 був доданий в вірусні бази Dr.Web. Практично місяць про СМС-троянця для Android нічого не було чути, за винятком бурхливих дискусій щодо вже виявлених версій. Їх поява викликала чимало суперечок як серед фахівців, так і серед звичайних користувачів. Цей троянець цікавий способом проникнення на смартфони жертв. Власники сайтів з контентом для дорослих (про сайти інших категорій поки нічого не відомо) в рамках партнерської програми можуть додавати на свої сторінки функцію завантаження троянця. Зовсім інший спосіб поширення використовується у випадку інших версій СМС-троянців, таких як Android.SmsSend.15. При роботі з будь-якими безкоштовними додатками, що використовують рекламний модуль AdMob, користувач може зустріти рекламу, яка пропонує йому встановити на свій апарат клієнт ICQ.

На даний момент основний потік шкідливих програм для ОС Android приходить із Піднебесної(Китай). Практично щотижня з'являються відомості про виявлення нових троянців або версій вже відомих сімейств. Першими ластівками з Китаю були Android.Geinimi, Android.Spy і Android.ADRD (за класифікацією Dr.Web). Вони отримали популярність з кінця 2010 року. У функціонал Android.Geinimi входить визначення місця розташування смартфона, завантаження файлів з Інтернету (інші програми), зчитування і запис закладок браузера, читання контактів, здійснення дзвінків, відправка, листів і редагування СМС, а також інші можливості. Android.Spy, крім читання і запису контактів, відправки, повідомлень і редагування СМС, визначення координат та інших можливостей, має функцію автозавантаження. Його діями творці можуть керувати віддалено

через СМС. Одна з останніх модифікацій цієї шкідливої ??програми - Android.Spy.54 - здійснює спам-розсилки СМС-повідомлень по команді зловмисників без відома власника пристрою. Крім того, Android.Spy.54 додає в закладки браузера смартфона деякі сайти. Фахівцям «Доктор Веб» на сьогоднішній день відомо більше шістдесяти модифікацій Android.Spy, більше тридцяти модифікацій Android.Geinimi і близько двадцяти модифікацій Android.ADRD. Одна з ознак того, що в встановлюваної програмі міститься такий троянець, - додаткові дозволи, які потрібні для роботи. Наприклад, якщо для гри в її оригінальному вигляді потрібен лише доступ в Інтернет, то в інфікованій версії кількість привілеїв буде набагато вище. Із загроз, що з'явилися пізніше, варто виділити Android.Youlubg (за класифікацією Dr.Web). Як звичайно, зловмисники скористалися відомою програмою, додавши в неї шкідливий функціонал.

На початку березня 2011 року з'явилася інформація про те, що в Android Market були знайдені програми та ігри, що містять троянський функціонал. У популярне ПО кимось були додані троянські функції, а потім ці модифіковані програми були представлені в Маркеті під авторством інших розробників. Таких програм було близько п'ятдесяти. У можливості Android.DreamExploid, який і став причиною даного зараження, входить збір інформації про пристрій, на якому він встановлений, включаючи IMEI і абонентський номер, можливість підключення до Інтернету для зв'язку з авторами, але, найголовніше, - троянець встановлював експлойт, який намагався виробити підвищення привілеїв програмного оточення смартфона. Крім того, Android.DreamExploid мав можливість завантаження програм з Інтернету і їх установки в обхід користувача (у разі вдалої експлуатації уразливості). Загроза з боку цього троянця була настільки серйозною, що компанія Google випустила спеціальну утиліту під назвою Android Market Security Tool, яка автоматично завантажувалася на інфіковані пристрої і виконувала дії з очищення системи від його слідів. Гучного новиною скористалися творці вже згадуваного раніше троянця Android. Youlubg. Вони додали в утиліту від Google функцію відправки СМС, а також збору персональної інформації з зараженого пристрою. Пізніше в AndroidMarket були виявлені й інші троянські програми. Одна з них - Android.DDLight, полегшена версія троянця Android.DreamExploid, що не використовує експлойт для отримання root-привілеїв.

Ще один випадок з розміщенням небезпечних програм в Android Market пов'язаний з троянцем Zsone (версії Android.SmsSendпо класифікації Dr.Web). Модифікації цього троянця становили небезпеку для китайських користувачів, непомітно за допомогою СМС підписували їх на різні платні послуги. Інший троянець, виявлений в Android Market, а також на різних китайських ресурсах, - Android.Wukong. 17 червня 2011 в вірусні бази Dr.Web були внесені опису чотирьох нових модифікацій цієї шкідливої ??програми, що викрадає кошти з рахунків користувачів ОС Android шляхом відправки платних СМС-повідомлень. Троянець потрапляє на мобільний пристрій у випадку завантаження його власником одного з інфікованих додатків і запускається в якості фонового процесу. Потім він отримує з віддаленого сервера номер платного сервісу, на який з інтервалом в 50 хвилин починає відправляти СМС-повідомлення, що починаються з рядка «YZHC». На сьогоднішній день фахівцям компанії «Доктор Веб» відомо про сім модифікаціях даного шкідливого ПЗ.



1.3 Захист в ОС Android

До недавнього часу власникам смартфонів і планшетних комп'ютерів на базі платформи Android не доводилося серйозно замислюватися про безпеку пристрою і персональних даних. Багато користувачі як і раніше вважають, що уникнути неприємних наслідків досить просто, для цього достатньо відмовитися від завантаження файлів з неперевірених джерел. Крім того, нещодавно увазі відвідувачів сайту Android Market було запропоновано новий сервіс під назвою Bouncer, який, за словами його розробників, запобіжить проникненню шкідливих програм в офіційний магазин додатків. Проте зі збільшенням ринкової частки Android ця мобільна платформа все частіше стає об'єктом пильної уваги творців вірусів і шкідливих додатків. Дослідження, проведене фахівцями компанії AV Test, дозволяє користувачам оцінити масштаби загрози і вибрати надійні та ефективні засоби захисту.

Співробітники AV Test піддали ретельному тестуванню більше чотирьох десятків вірусних сканерів для платформи Android. Експертів цікавила продуктивність продуктів та їх здатність до виявлення шкідливих додатків. Виявилося, що приблизно дві третини перевірених програм не відповідають пропонованим вимогам, їм вдалося ідентифікувати менше 65% із запропонованих 618 різновидів загроз.

Найбільш високих оцінок удостоїлися мобільні версії популярних настільних засобів захисту. Наприклад, в числі найбільш ефективних і поширених антивірусів для Android виявилося безкоштовний додаток avast! Free Mobile Security. Цей продукт не тільки успішно справляється з більшістю відомих загроз, а й пропонує додаткові функції та інструменти для забезпечення безпеки персональних даних у випадку втрати або крадіжки пристрою. У списку лідерів опинилися і інші популярні мобільні антивіруси, включаючи Dr. Web, IKARUS і Lookout.

Під час дослідження було зроблено ще кілька цікавих спостережень.

У тому числі, експерти відзначили помітне збільшення числа шкідливих додатків протягом останніх декількох місяців. Можливо власникам портативних пристроїв, які користуються офіційними магазинами додатків і завантажують мультимедійний контент з благонадійних джерел, вдасться досить довго залишатися в безпеці. Однак навіть дотримання зазначених заходів обережності не може бути гарантією абсолютної невразливості.

Отже, для реалізації мети курсового проекту потрібно дотримуватися таких вимог:

визначитись з ресурсами ОС Android, які потребують захисту;

отримати параметри ресурсів;

отримати ключову інформацію про ресурси поераційної системи;

одійснити захист ресурсів за допомогою реалізації программного забепечення;

розробити інструкцію про користування даним програмним забезпечення.



2. РЕАЛІЗАЦІЯ І ТЕСТУВАННЯ ЗАХИСТУ В ОС ANDROID

2.1 Обґрунтування вибору програмних засобів для реалізації захисту

Для розробки програми для захисту від несанкціонованого доступу потрібно встановити додаткове програмне забезпечення [1]:

Java SE.

Інтегроване середовище розробки Eclipse .

Android SDK.

Плагин для Eclipse ADT (Android Development Tools);

Java Standart Edition (SE) ??- це стандартна редакція Java, яка використовується для розробки простих Java додатків. Використовуючи дану редакцію можна створювати аплети, консольні додатки, додатки з графічним інтерфейсом користувача.

Інструментальний набір Android Software Development Kit (SDK) включає засоби, використовувані для розробки, тестування і налагодження додатків Android. Плагін Android Development Tools (ADT) для Eclipse забезпечує можливість використання інструментів Android SDK для розробки додатків Android за допомогою інтегрованого середовища розробки Eclipse.

За допомогою SDK установлюємо платформу Android, яка буде використовуватися для розробки програм. Також Android SDK включає в себе емулятор Android, який забезпечує виконання додатків Android в імітованому середовищі на комп'ютері, а не на реальному пристрої Android[3].

Доступні бібліотеки: Bionic (Бібліотека стандартних функцій, несумісна з libc), libc (стандартна системна бібліотека мови Сі) і т.д.

Eclipse - вільне модульне інтегроване середовище розробки програмного забезпечення. Розробляється і підтримується Eclipse Foundation. Написаний в основному на Java, і може бути використаний для розробкизастосунків на Java і, за допомогою різніх плагінів, наінших мовах

програмування, включаючи Ada, C, C++, COBOL, Fortran, Perl, PHP,Python, R, Ruby (включно з каркасом Ruby on Rails), Scala, Clojure та Scheme. Середовища розробки зокрема включають Eclipse ADT (Ada Development Toolkit) .

2.2 Розробка принципів роботи програмних засобів

2.2.1 Розробка схеми ресурсів. Програмний захист реалізовано у вигляді блоків:

- блок отримання графічного ключа;

- блок модуля отримання інформації про ресурс;

- блок зняття параметрів конкретного ресурса;

- блок ресурсів ОС;

- блок програмного захисту.

Схему ресурсів програмного засобу наведено на рисунку 2.1.

Рисунок 2.1 - Схема ресурсів

2.2.2 Розробка схеми програмного засобу. У нашому курсовому проекті ми використаємо захист ресурсів в операційній системі Android. Як ресурси виступають всі внутрішні файли системи, а також пункти та підпункти меню, налаштувань та всіх встановлених додатків[6].

Отже, для навішування захисту необхідно спочатку провести аналіз всіх можливих ресурсів. Далі ми вибираємо ресурс який потрібно захистити, після чого виконується навішування графічного ключа на вибраний нами ресурс(рис 2.1)

Рисунок 2.2 - Структура програми під час навішування захисту



Робота захищеного нами ресурсу відрізняється від незахищено тільки тим що, під час запуску ресурсу потрібно пройти процедуру підтвердження правильності введення паролю, якщо пароль введено правильно то програма запуститься без проблем, але якщо ввести пароль невірно то програма не запустить і запропонує ввести ключ ще раз(див рис 2.2).

2.3 Розробка модулів програмного забезпечення

Початок захисту наших ресурсів розпочинається зі встановлення розробленої нами утиліти на наш пристрій на якому і буде надалі тестуватися[4]. Для початку встановлення нам потрібно помістити інсталяційний файл SmartAppLock.apk на аппарат, і встановити його натиснувши на нього.

Рисунок 2.4 - Встановлення програми

Для встановлення нашого програмного забезпечення нам потрібно дозволити йому звертатися до системних інструментів. Створити файл установки нам допомагають вбудовані функції програмного забезпечення для розробки додатків Eclips Classic, з предвстановленим плагіном Android SDk.

Отримання інформації відбувається за допомогою функції MainActivity:

public class MainActivity extends Activity implements

OnCheckedChangeListener {

   private DevicePolicyManager mgr=null;

   private ComponentName camera=null;

 private ComponentName widgets=null;

   private ComponentName cn=null;

Рисунок 2.5 - Список ресурсів ОС

Отримання інформацію про вибраний нами ресурс і подальший доступ до нього відбувається за допомогою функції onResume:

 public void onResume() {

super.onResume();

if (mgr.isAdminActive(cn)) {

toggleWidgets(true);

int status=mgr.getKeyguardDisabledFeatures(cn);

camera.setChecked(!((status

Далі ми призначаємо графічний ключ, який представляє собою сітку вузлів три на три вузли. Послідовність з'єднання вузлів і буде нашим графічним ключем. Графічний ключ користувач вигадує сам і має запам'ятати його, оскільки, графічний ключ представляє собою пароль за допомогою якого ми проводимо автентифікацію користувача. Після вводу графічного ключа, ключ перевіряється на ідентичність тому ключу, який користувач ввів як початкове значення для контролю і перевірки правдивість(рис 2.6).

DevicePolicyManager.KEYGUARD_DISABLE_SECURE_CAMERA) DevicePolicyManager.KEYGUARD_DISABLE_SECURE_CAMERA));

widgets.setChecked(!((status DevicePolicyManager.KEYGUARD_DISABLE_WIDGETS_ALL) DevicePolicyManager.KEYGUARD_DISABLE_WIDGETS_ALL));

}

else {

toggleWidgets(false);

Рисунок 2.6 - Введення графічного ключа

Якщо після введення ключа вузли засвітились зеленим кольором і кнопка Continue стала активною, тоді ключ пройшов перевірку.

Якщо вузли засвітились червоним кольором, тоді ключ був введений неправильно і потрібно ввести ключ знову(рис 2.7).

Рисунок 2.7 - Невірне введення графічного ключа

Якщо графічний ключ був введений то ми вільно відкриваємо захищений нами ресурс(рис 2.8).

Рисунок 2.8 Вхід в захищений ресурс

Отже, у даному розділі було розроблено захист від несанкціонованого доступу до ресурсів операційної системи. Було отримано параметри всіх ресурсів операційної системи Android. У нашому випадку ресурсами виступають встановлені додатки та системі функції операційної системи, а також особисті дані та налаштування.



ВИСНОВКИ

У даному курсовому проекті було розроблено програмний засіб для реалізації захисту програм в ОС Android.

У першому розділі було досліджено операційну систему Android її архітектуру, структуру файлової системи.

У другому розділі визначено мету курсового проекту, обґрунтовано засоби розробки даного програмного засобу, а також подана програмна реалізація всіх методів, розроблена схема взаємодії методів програмного засобу. Також продемонстрована робота програмного методу, та на практиці досліджено евективність використання даного методу.

Даний програмний засіб можна використовувати для захищення будь-яких ресурсів операційної системи Android методом навішування захисту графічним ключем. Даний метод є достатньо зручним для починаючих користувачів, а також є дієвим в захисті.



ПЕРЕЛІК ВИКОРИСТАНИХ ДЖЕРЕЛ

П. Дейтел Android для программистов: создаём приложения / Х. Дейтел, Э. Дейтел, М. Моргано Д27 - СПб.: Питер, 2013. - 560 с.

Дэрси Л. Android за 24 часа. Програмирование приложений под операцыоную систему Google/ Дэрси Л., Кондер Ш. - М.: Рид Групп, 011. - 464 с.

Войтович О. П. Методичні вказівки до виконання курсового проекту з дисципліни "Захист програмного забезпечення" для студентів напряму підготовки 6.170101 “Безпека інформаційних і комунікаційних систем” / Олеся Войтович, Валентина Каплун - Вінниця: ВНТУ, 2010. - 57 с.

http://startandroid.ru/ru/uroki/vse-uroki-spiskom/236-urok-126-media-mediaplayer-audiovideo-pleer-osnovnye-vozmozhnosti.html

http://developer.alexanderklimov.ru/android/

Единая система конструкторской документации.. Общие требования к текстовым документам : ГОСТ 2.105-95. - [Чинний від 1996-01-07]. - Мінськ: Межгосударственный совет по стандартизации, метрологии и сертификации, 1996. - 29 с. - (Міждержавний стандарт).

Дудатьєв А.В. Захист програмного забезпечення. Ч.1 : навчальний посібник / Андрій Дудатьєв, Валентина Каплун, Василь Семеренко - Вінниця: ВНТУ, 2005. - 140 с.

Майданюк В.П. Захист програмного забезпечення. Ч.2 : навчальний посібник / Володимир Майданюк, Валентина Каплун - Вінниця: ВНТУ, 2011. - 150 с.

Каплун В.А. Захист програмного забезпечення: Конспект лекцій. - Вінниця: ВНТУ, 2013.

Размещено на Allbest.ru

...