ĐÀO TẠO AN TOÀN THÔNG TIN THEO CHUẨN QUỐC TẾ TRỰC TUYẾN

Comptia Pentest + (PT0-002) – Bài 11 Kiểm thử An ninh Thiết bị Di động (Mobile Devices)

Tài liệu hướng dẫn Kiểm thử An ninh Thiết bị Di động (Mobile Devices)

Mục tiêu:

• Khi đưa ra một tình huống, nghiên cứu các vector tấn công và thực hiện các cuộc tấn công không dây.
• Giải thích các cuộc tấn công và lỗ hổng phổ biến đối với các hệ thống chuyên biệt.

Chủ đề 11A: Nhận biết các Lỗ hổng của Thiết bị Di động
Trong thế giới di động ngày nay, thiết bị di động trở thành một phần không thể thiếu của cuộc sống và công việc. Tuy nhiên, sự phổ biến của chúng cũng đi kèm với nhiều rủi ro bảo mật. Là một chuyên gia an ninh mạng, điều quan trọng là phải hiểu các lỗ hổng tiềm ẩn trong các thiết bị di động và cách thức triển khai chúng trong môi trường doanh nghiệp. Đội ngũ Pentest của Security365 cần đánh giá kỹ lưỡng cấu hình và chính sách bảo mật của thiết bị di động để đảm bảo an toàn cho dữ liệu và tài sản của tổ chức.

Nhiều công ty tuân theo một mô hình triển khai thiết bị di động có cấu trúc, có thể bao gồm các mô hình sau:

• BYOD (Bring Your Own Device): Nhân viên sử dụng thiết bị cá nhân của riêng họ cho công việc.
• COBO (Company Owned, Business Only): Công ty cung cấp thiết bị chỉ dành cho mục đích công việc.
• COPE (Company Owned, Personally Enabled): Công ty cung cấp thiết bị nhưng cho phép sử dụng cá nhân có giới hạn.
• CYOD (Choose Your Own Device): Nhân viên chọn thiết bị từ danh sách được công ty phê duyệt.

Kiểm soát truy cập trên thiết bị di động phải là ưu tiên hàng đầu. Nếu một kẻ tấn công có thể vượt qua bảo mật của điện thoại thông minh hoặc máy tính bảng, chúng có thể truy cập vào thông tin cá nhân và doanh nghiệp.

Ví dụ: Công ty XYZ cho phép nhân viên sử dụng điện thoại cá nhân theo chính sách BYOD. Tuy nhiên, họ yêu cầu tất cả các thiết bị phải có mật khẩu mạnh, mã hóa dữ liệu và cài đặt phần mềm quản lý thiết bị di động (MDM). Điều này giúp ngăn chặn truy cập trái phép ngay cả khi thiết bị bị mất hoặc bị đánh cắp.

Kiểm soát truy cập sẽ ngăn người dùng trái phép truy cập vào thiết bị, điều này có thể đạt được bằng nhiều cách, bao gồm:

• Những gì bạn biết (what you know), chẳng hạn như mật khẩu, cụm mật khẩu hoặc mã PIN
• Những gì bạn có (what you have), chẳng hạn như thẻ thông minh hoặc token USB
• Những gì bạn là (what you are – sinh trắc học/biometric), chẳng hạn như dấu vân tay
• Những gì bạn làm (what you do), chẳng hạn như mẫu vuốt màn hình
• Nơi bạn đang ở (where you are), chẳng hạn như vị trí vật lý hoặc logic đáng tin cậy
• Điều kiện nào hiện diện (context-aware), chẳng hạn như vị trí địa lý

Ví dụ: Một ngân hàng triển khai xác thực đa yếu tố cho ứng dụng di động của họ. Ngoài mật khẩu, người dùng còn phải sử dụng dấu vân tay (sinh trắc học) và chỉ có thể truy cập ứng dụng khi ở quốc gia của họ (vị trí địa lý). Kết hợp nhiều yếu tố này làm cho việc truy cập trái phép trở nên khó khăn hơn nhiều.

Quản lý di động doanh nghiệp (Enterprise Mobility Management – EMM) là một lớp phần mềm quản lý được thiết kế để áp dụng các chính sách bảo mật cho các thiết bị và ứng dụng di động trong doanh nghiệp như sau:

• Quản lý thiết bị di động (Mobile Device Management – MDM): thiết lập các chính sách thiết bị cho xác thực, sử dụng tính năng và kết nối
• Quản lý ứng dụng di động (Mobile Application Management – MAM): ngăn chặn cài đặt ứng dụng trái phép và tự động đẩy các bản cập nhật
• Chức năng cốt lõi của bộ quản lý điểm cuối mở rộng khái niệm về các giải pháp kiểm soát truy cập mạng (Network Access Control – NAC).
• Cấu hình các chính sách ngăn chuyển dữ liệu sang các ứng dụng cá nhân.

Ví dụ: Công ty ABC sử dụng giải pháp EMM để quản lý tập trung tất cả điện thoại thông minh và máy tính bảng của nhân viên. Họ đẩy các chính sách yêu cầu mật khẩu phức tạp, mã hóa thiết bị và chỉ cho phép cài đặt ứng dụng từ cửa hàng ứng dụng nội bộ. EMM cũng cho phép họ từ xa xóa dữ liệu công ty khỏi thiết bị bị mất hoặc của nhân viên nghỉ việc.

EMM cho phép quản trị viên cung cấp quyền truy cập từ xa vào thiết bị được quản lý để đảm bảo bảo mật của cơ sở hạ tầng:

• Hạn chế một số tính năng và dịch vụ nhất định dựa trên chính sách kiểm soát truy cập
• Đăng ký và xác thực thiết bị
• Đẩy các bản cập nhật hệ điều hành, ứng dụng và phần mềm vào các thiết bị
• Định vị thiết bị thông qua GPS và các công nghệ khác
• Ngăn chặn quyền truy cập root hoặc jailbreak thiết bị
• Phân tách dữ liệu nhạy cảm của tổ chức

Ví dụ: Bằng cách sử dụng EMM, công ty XYZ có thể ngăn chặn các ứng dụng công ty truy cập vào dữ liệu cá nhân trên thiết bị của nhân viên. Họ cũng có thể nhanh chóng triển khai các bản cập nhật bảo mật quan trọng cho tất cả thiết bị, giảm rủi ro khai thác lỗ hổng đã biết.

Hầu hết các mối đe dọa nhắm vào nền tảng di động ảnh hưởng đến các thiết bị Android, chiếm thị phần lớn nhất.
Thiết bị Android có thể trở thành nạn nhân của cuộc tấn công vì nhiều lý do:

• Sử dụng các phiên bản hệ điều hành cũ với các lỗ hổng chưa được vá
• Tùy chỉnh hệ điều hành
• Sử dụng các ứng dụng của bên thứ ba
  Nhiều mối đe dọa xảy ra vì người dùng lấy ứng dụng từ nguồn không chính thức thay vì từ cửa hàng Google Play.

Ví dụ: Người dùng tải một trò chơi từ một trang web bên thứ ba thay vì Google Play. Ứng dụng này chứa phần mềm gián điệp (spyware) ẩn, ghi lại thao tác của người dùng và gửi dữ liệu nhạy cảm đến máy chủ của tin tặc. Do thiết bị đang chạy phiên bản Android cũ, nó dễ bị tổn thương trước loại tấn công này.

Bảo mật hơn vì bạn chỉ có thể lấy ứng dụng từ App Store.
Để vượt qua hạn chế này, người dùng jailbreak điện thoại của họ

• Xóa lớp bảo vệ và mọi hạn chế cụ thể của hệ điều hành để cấp cho người dùng quyền kiểm soát lớn hơn đối với thiết bị.
• Jailbreak gây ra mối đe dọa đáng kể. Khi một thiết bị đã bị jailbreak, bất kỳ ứng dụng nào cũng có thể đọc và ghi vào hệ thống tệp gốc.
• Hệ điều hành sẽ chạy mã không được ký, điều này thường bị Apple ngăn chặn.

Ví dụ: Một nhân viên jailbreak iPhone công ty của họ để cài đặt một ứng dụng không được phê duyệt. Ứng dụng này có quyền truy cập root và bắt đầu sao chép dữ liệu công ty nhạy cảm sang máy chủ từ xa. Do thiết bị đã bị jailbreak, các tính năng bảo mật tích hợp của iOS không còn hoạt động.

Quy trình logic kinh doanh đại diện cho luồng thông tin từ yêu cầu truy cập cho đến khi yêu cầu truy cập vào tài nguyên.
Nhiều mối đe dọa và lỗ hổng có thể tồn tại bao gồm:

• Deperimeterization: Mờ ranh giới giữa mạng nội bộ và bên ngoài khi cho phép truy cập từ xa
• Thiết bị bị mất hoặc bị đánh cắp
• Thiếu bảo vệ chống phần mềm độc hại (antimalware)
• Sử dụng các thành phần dễ bị tấn công đã biết
• Lỗ hổng mã truy cập

Ví dụ: Nhân viên truy cập dữ liệu công ty nhạy cảm thông qua một ứng dụng di động. Tuy nhiên, mã xác thực ứng dụng có một lỗ hổng cho phép kẻ tấn công vượt qua nó bằng một cuộc tấn công brute-force đơn giản. Khi đã truy cập, kẻ tấn công có thể thao túng chức năng ứng dụng để trích xuất dữ liệu.

Hoạt động ôn tập:

1. Xem lại các phương pháp triển khai thiết bị di động
2. Thảo luận về các phương pháp được sử dụng để kiểm soát truy cập
3. Giải thích một số yếu tố chính của EMM
4. So sánh các cân nhắc bảo mật của Android và iPhone
5. Liệt kê một số mối đe dọa đối với quy trình logic kinh doanh

Chủ đề 11B: Tấn công vào Thiết bị Di động
Với sự phổ biến ngày càng tăng của điện thoại thông minh và máy tính bảng, các thiết bị di động trở thành mục tiêu hấp dẫn cho tin tặc. Chúng có thể chứa một lượng lớn dữ liệu nhạy cảm, từ thông tin cá nhân đến chi tiết công việc, khiến chúng trở thành mục tiêu lý tưởng cho các cuộc tấn công. Là một phần của việc kiểm tra bảo mật, Đội ngũ Pentest của Security365 cần hiểu và mô phỏng các kỹ thuật tấn công khác nhau nhắm vào thiết bị di động để xác định và khắc phục các lỗ hổng.

Các mối đe dọa và lỗ hổng đối với thiết bị di động bao gồm:

• Phần mềm độc hại (Malware): Phần mềm gián điệp (Spyware), mã độc Trojan (Trojans), Rootkit, Virus và Sâu (Worms)
• Tích hợp sinh trắc học: thiết bị được thiết kế kém có thể cho phép kẻ tấn công giả mạo hệ thống bằng cách trình bày một đặc điểm sinh trắc học giả.
• Thực thi các hoạt động sử dụng quyền root, điều này có thể xảy ra khi người dùng root hoặc jailbreak hệ thống của họ để cải thiện hiệu suất của thiết bị.
• Sự vượt quá giới hạn của quyền truy cập có thể xảy ra, vì thường người dùng quyết định dịch vụ nào được truy cập khi tải xuống và cài đặt ứng dụng.

Ví dụ: Một ứng dụng trò chơi bên thứ ba chứa phần mềm gián điệp ẩn ghi lại cuộc gọi, tin nhắn văn bản và vị trí GPS của người dùng. Do ứng dụng yêu cầu nhiều quyền khi cài đặt, nhiều người dùng chấp nhận mà không suy nghĩ. Phần mềm gián điệp sau đó gửi dữ liệu thu thập được đến máy chủ của kẻ tấn công.

Ngoài lừa đảo (phishing), chuyển hướng trang web (pharming) và mồi nhử (baiting), kẻ tấn công sử dụng các kỹ thuật khác nhắm vào thiết bị di động, chẳng hạn như:

• Vishing là lừa đảo qua Giao thức Voice over Internet (VoIP).
• SMiShing sử dụng tin nhắn văn bản để lôi kéo người dùng nhấp vào liên kết
• Tải xuống drive-by có thể xảy ra trong khi duyệt internet
• Spamming là gửi quảng cáo và cuộc gọi không mong muốn cho người dùng điện thoại di động
• Trình cướp trình duyệt (Browser Hijackers) lấy yêu cầu web và gửi nó đến công cụ tìm kiếm khác

Ví dụ: Kẻ tấn công gửi tin nhắn văn bản giả mạo ngân hàng của nạn nhân, yêu cầu họ nhấp vào liên kết để xác minh tài khoản của họ. Liên kết dẫn đến một trang web giả mạo, nơi thu thập thông tin đăng nhập ngân hàng của nạn nhân. Đây là một ví dụ về SMiShing.

Khi sử dụng kỹ thuật xã hội, giai đoạn tấn công thường sẽ hoàn thành các bước sau:

1. Nghiên cứu một số loại thủ đoạn sẽ khiến nạn nhân nhấp vào liên kết hoặc hoàn thành một số hành động.
2. Tương tác với nạn nhân bằng cách tận dụng thủ đoạn, có thể gửi dưới dạng lừa đảo hoặc tấn công SMiShing với hy vọng nạn nhân sẽ hoàn thành một số hành động.
3. Khi nạn nhân phản hồi, trích xuất thông tin nhạy cảm, chẳng hạn như thông tin đăng nhập trên tài khoản nhà cung cấp.
4. Sau khi cuộc tấn công kết thúc hoặc đã sử dụng hết thời hạn, xóa tất cả dấu vết của cuộc tấn công, chẳng hạn như mọi trang web thương mại điện tử giả mạo.

Ví dụ: Kẻ tấn công tạo một trang web giả mạo trông giống như cổng đăng nhập của một mạng xã hội phổ biến. Họ gửi email cho các nạn nhân, tuyên bố tài khoản của họ đã bị xâm phạm và chứa một liên kết đến trang đăng nhập giả mạo. Khi nạn nhân nhập thông tin đăng nhập của họ, kẻ tấn công ghi lại và sử dụng chúng để truy cập vào tài khoản thực.

Phần mềm gián điệp có thể gây ra vấn đề nghiêm trọng vì chúng được thiết kế để theo dõi việc sử dụng của bạn và chặn mật khẩu và dữ liệu.
Có thể nhiễm phần mềm gián điệp trên điện thoại bằng cách ai đó tiếp xúc vật lý với thiết bị hoặc bằng cách gửi tin nhắn có liên kết
Khi được cài đặt, phần mềm gián điệp có thể theo dõi mọi hoạt động như tin nhắn văn bản, bài đăng trên mạng xã hội và cuộc gọi điện thoại, cùng với các trang web đã truy cập.

Ví dụ: Một tin tặc sử dụng một lỗ hổng trong hệ điều hành di động để cài đặt phần mềm gián điệp trên thiết bị của mục tiêu. Phần mềm gián điệp bí mật ghi lại các cuộc trò chuyện, tin nhắn và thậm chí cả âm thanh từ micrô. Tin tặc sau đó sử dụng thông tin này để tống tiền hoặc bán trên thị trường chợ đen.

Bluejacking được những kẻ tấn công sử dụng để gửi các tin nhắn, hình ảnh hoặc video không mong muốn đến thiết bị bằng kết nối Bluetooth.
Thực hiện bằng cách gửi tin nhắn đến các thiết bị có thể khám phá gần đó bằng ứng dụng Bluetooth của kẻ tấn công.
Có thể được sử dụng như một vector để thực hiện các cuộc tấn công nguy hiểm hơn.
Bluesnarfing là cuộc tấn công hung hãn hơn, vì kẻ tấn công có thể đọc thông tin từ thiết bị Bluetooth của nạn nhân.
Mục tiêu cuối cùng là lấy dữ liệu nhạy cảm từ nạn nhân, như danh bạ, lịch, tin nhắn email, tin nhắn văn bản, v.v.

Ví dụ: Trong một khu vực đông đúc, kẻ tấn công sử dụng công cụ Bluesnarfing để quét các thiết bị Bluetooth gần đó. Họ tìm thấy điện thoại của một doanh nhân có thể truy cập, nhanh chóng kết nối và lấy sổ địa chỉ, email và tin nhắn văn bản của anh ta. Dữ liệu này sau đó được sử dụng để dàn dựng các cuộc tấn công lừa đảo nhắm vào các liên hệ của nạn nhân.

Các thiết bị iOS hạn chế hơn, chỉ có thể cài đặt ứng dụng từ App Store chính thức, giúp ngăn chặn phần mềm độc hại.
Jailbreak iPhone cho phép thiết bị cài đặt ứng dụng từ các nguồn bên thứ ba, có thể chứa phần mềm độc hại.
Hệ điều hành Android ít hạn chế hơn nhiều. Một cài đặt duy nhất có thể cho phép thiết bị cài đặt ứng dụng từ các nguồn bên thứ ba.
Quá trình root làm giảm bảo mật của thiết bị, vì khi đã bị root, các ứng dụng sẽ có thể chạy bên ngoài môi trường sandbox

Ví dụ: Một người dùng Android tải xuống một ứng dụng từ một trang web bên thứ ba yêu cầu quyền root. Ứng dụng chứa phần mềm độc hại cho phép kẻ tấn công từ xa truy cập thiết bị và lấy dữ liệu. Do thiết bị đã bị root, các tính năng bảo mật của Android bị vô hiệu hóa.

Cung cấp cách để xem chuyện gì xảy ra khi virus thực thi
Xác định các lỗ hổng, giúp ngăn chặn các cuộc tấn công trong tương lai.
Kỹ thuật dịch ngược (Reverse engineering) duyệt qua mã để xem điều gì xảy ra khi mã chạy trên thiết bị.
Phân tích hộp cát (Sandbox analysis) sử dụng ảo hóa để cung cấp môi trường an toàn để phân tích phần mềm độc hại.

Ví dụ: Đội ngũ Pentest của Security365 phát hiện một loại mã độc mới nhắm vào thiết bị di động. Họ sử dụng phân tích hộp cát để thực thi mã độc trong một môi trường ảo hóa cách ly. Điều này cho phép họ quan sát hành vi của mã độc, như cách nó truyền dữ liệu ra bên ngoài và cố gắng lan rộng sang các thiết bị khác, mà không gây rủi ro cho các hệ thống sản xuất.

Hoạt động ôn tập:

1. Phác thảo một số mối đe dọa được thiết kế để nhắm mục tiêu vào thiết bị di động
2. Xem lại các kỹ thuật Kỹ thuật Xã hội được sử dụng trên thiết bị di động
3. Thảo luận về các bước thực hiện khi tiến hành tấn công bằng kỹ thuật xã hội
4. Mô tả lý do tại sao phần mềm gián điệp có thể là một cuộc tấn công nghiêm trọng
5. So sánh Bluejacking và Bluesnarfing
6. Xem lại cách các thiết bị iOS và Android xử lý phần mềm độc hại
7. Giải thích các cách phân tích phần mềm độc hại

Chủ đề 11C: Các công cụ đánh giá dành cho Thiết bị Di động
Để đánh giá hiệu quả an ninh của thiết bị di động, điều quan trọng là phải có các công cụ và phương pháp luận chuyên dụng. Các công cụ này cho phép Đội ngũ Pentest của Security365 quét, phân tích và khai thác các lỗ hổng trong các ứng dụng và nền tảng di động. Bằng cách sử dụng các framework thử nghiệm và bộ công cụ chuyên biệt, đội có thể đánh giá toàn diện trạng thái bảo mật của không gian di động và đề xuất cải tiến.

Khi xử lý các thiết bị di động, hầu hết các tổ chức đều kết hợp một framework thử nghiệm để giám sát và giảm thiểu rủi ro:

• Đánh giá Thiết bị Di động (Mobile Device Assessment)—cung cấp tổng quan về các vấn đề tuân thủ và logic kinh doanh.
• Phê duyệt BYOD—chọn thiết bị phù hợp và tạo chính sách.
• Phát triển Ứng dụng An toàn (Secure App Development)—tạo các ứng dụng cụ thể cho tổ chức phù hợp với chính sách của tổ chức.
• Thử nghiệm Ứng dụng Di động (Mobile APP Testing)—bao gồm Thử nghiệm Bảo mật Ứng dụng Tĩnh (SAST) và Thử nghiệm Bảo mật Ứng dụng Động (DAST).

Ví dụ: Trước khi triển khai một chương trình BYOD mới, công ty XYZ thực hiện Đánh giá Thiết bị Di động. Họ xem xét các thiết bị phổ biến để đánh giá các tính năng bảo mật, tạo danh sách các thiết bị được phê duyệt. Họ cũng phát triển các chính sách về mật khẩu, mã hóa và phần mềm diệt virus cho các thiết bị này. Cuối cùng, họ kiểm tra kỹ lưỡng ứng dụng di động nội bộ của mình bằng cả SAST và DAST trước khi triển khai.

Một bộ công cụ được thiết kế để tiến hành kiểm tra xâm nhập trên nhiều thiết bị. Bao gồm các ứng dụng như:

• Ettercap là một bộ công cụ có thể được sử dụng để tiến hành các loại tấn công Man in The Middle (hay on-path) khác nhau.
• Công cụ Android SDK có các gói để bạn có thể thiết kế, xây dựng và thử nghiệm ứng dụng di động cho thiết bị Android cùng với kỹ thuật đảo ngược trên thiết bị hiện có.
• Burp Suite là một nền tảng tích hợp để kiểm tra các ứng dụng web cùng với một trợ lý di động được thiết kế để kiểm tra thiết bị iOS.

Ví dụ: Trong quá trình kiểm tra bảo mật của một ứng dụng Android, Đội ngũ Pentest của Security365 sử dụng công cụ trong Kali Linux. Họ sử dụng Ettercap để chặn lưu lượng giữa ứng dụng và máy chủ, tìm kiếm dữ liệu nhạy cảm. Họ cũng sử dụng Android SDK để đảo ngược ứng dụng, kiểm tra mã để tìm lỗ hổng.

MobSF có thể cung cấp đánh giá tự động về mã và phân tích phần mềm độc hại sử dụng cả phân tích tĩnh và động như sau:

• Phân tích tĩnh có thể đánh giá cả Android và iOS.

• Phân tích động có thể đánh giá nền tảng Android.

Framework tiến hành đánh giá để xác định:

• Danh tiếng của hệ điều hành, liệu nó đã bị root hay jailbreak chưa và bảo mật ứng dụng.

Ví dụ: Trong quá trình kiểm tra một ứng dụng di động iOS, Đội ngũ Pentest của Security365 sử dụng MobSF. Phân tích tĩnh xem xét mã ứng dụng, đánh dấu việc sử dụng mã hóa không an toàn và lưu trữ dữ liệu nhạy cảm không bảo mật. MobSF cũng kiểm tra ứng dụng để tìm các dấu hiệu của jailbreak, điều này có thể chỉ ra rủi ro bảo mật tiềm ẩn.

MSTG cung cấp một framework trực quan hướng dẫn bạn qua quy trình đánh giá. Các yếu tố chính bao gồm:

• Bảng điều khiển tổng hợp thông tin kiểm tra cùng với thông tin liên hệ
• Khuyến nghị bảo mật cho cả thiết bị Android và iOS
• Thông số kỹ thuật để kiểm tra khả năng phục hồi trước việc đảo ngược và giả mạo
• Ngoài việc cung cấp danh sách kiểm tra chuyên sâu, bạn cũng sẽ tìm thấy các liên kết để truy cập các tài nguyên bên ngoài.

Ví dụ: Khi kiểm tra ứng dụng ngân hàng trên cả Android và iOS, đội ngũ áp dụng MSTG. Họ sử dụng các danh sách kiểm tra để đảm bảo rằng họ bao quát tất cả các khía cạnh bảo mật liên quan, từ xác thực và ủy quyền đến bảo vệ dữ liệu và các biện pháp chống đảo ngược. Hướng dẫn cũng giúp họ tùy chỉnh phương pháp tiếp cận cho mỗi nền tảng.

Frida hoạt động với nhiều hệ điều hành khác nhau và bao gồm các công cụ dành cho nhà phát triển tùy chỉnh được sử dụng trong quá trình kiểm tra ứng dụng. Các tính năng bao gồm:

• Kiểm tra dữ liệu văn bản rõ ràng, dump bộ nhớ quá trình, fuzzing trong quá trình
• Phát hiện chống jailbreak (hoặc root), thay đổi hành vi của chương trình Objection là một trình gỡ lỗi có thể tạo kịch bản cho phép bạn thực hiện các tác vụ liên quan đến bảo mật khác nhau trên các ứng dụng iOS không mã hóa. Đội có thể chạy các tập lệnh Frida tùy chỉnh và tương tác với hệ thống tệp trên các thiết bị iOS không jailbreak.

Ví dụ: Trong quá trình kiểm tra một ứng dụng iOS độc quyền, Đội ngũ Pentest của Security365 sử dụng Frida và Objection. Họ kết hợp Frida vào ứng dụng để kiểm tra bộ nhớ của nó trong thời gian chạy, tìm kiếm thông tin đăng nhập được lưu trữ không an toàn. Họ cũng sử dụng Objection để tương tác với hệ thống tệp của thiết bị, tìm kiếm các tệp nhạy cảm mà ứng dụng có thể đang lưu trữ một cách không an toàn.

Drozer là một framework tấn công cho phép bạn tìm các lỗ hổng bảo mật trên các thiết bị và ứng dụng Android Hoạt động theo mô hình máy khách-máy chủ và cho phép bạn đảm nhận vai trò của một ứng dụng Một tệp APK là một ứng dụng được thiết kế để chạy trên thiết bị Android. Hai bộ dịch ngược ứng dụng hoạt động với các tệp APK là:

• APKX tool là một bộ dịch ngược APK Android cho phép bạn kéo và phân tích mã nguồn Java để xem điều gì đang diễn ra bên trong.
• APK Studio là một IDE được thiết kế để bạn có thể dịch ngược hoặc chỉnh sửa tệp APK.

Ví dụ: Khi đánh giá một ứng dụng Android, Đội ngũ Pentest của Security365 sử dụng Drozer để giả mạo các yêu cầu ứng dụng đến ứng dụng và xem liệu nó có xác thực đầy đủ các đầu vào hay không. Họ cũng sử dụng APKX để dịch ngược tệp APK, kiểm tra mã để tìm lỗ hổng như truy vấn cơ sở dữ liệu không an toàn và các vấn đề về ủy quyền.

API là tập hợp các lệnh được sử dụng để gửi và nhận dữ liệu giữa các hệ thống, chẳng hạn như máy khách và máy chủ. Postman là một công cụ kiểm tra API cung cấp môi trường giao diện người dùng tương tác được sử dụng để tương tác và kiểm tra API HTTP. Postman rất phong phú tính năng và có thể thực hiện những việc sau:

• Khám phá và tạo một API, xây dựng và chạy bộ thử nghiệm.
• Làm việc với các thành viên khác trong nhóm, Phân tích kết quả và chạy báo cáo.
• Tích hợp trong vòng đời DevOps.

Ví dụ: Như một phần của cuộc kiểm tra bảo mật ứng dụng di động, Đội ngũ Pentest của Security365 sử dụng Postman để kiểm tra API của ứng dụng. Họ gửi các yêu cầu được tạo thủ công tới API, cố gắng truy cập vào dữ liệu mà họ không được phép xem hoặc sửa đổi. Họ cũng xây dựng bộ thử nghiệm tự động để kiểm tra các lỗ hổng bảo mật phổ biến như SQL injection và bắt buộc duyệt thư mục.

Hoạt động ôn tập:

1. Thảo luận về một số framework thử nghiệm được sử dụng để giảm thiểu rủi ro
2. Xem lại một số công cụ có trong Kali Linux
3. Phác thảo các lợi ích của Mobile Security Framework
4. Liệt kê các yếu tố chính của Mobile Security Testing Guide
5. So sánh Frida và Objection khi kiểm tra mã
6. Mô tả các cách Drozer, APKX tool và APK Studio kiểm tra mã
7. Giải thích cách Postman tương tác và kiểm tra API HTTP.

Tổng kết: Bài học này cung cấp cái nhìn toàn diện về an ninh thiết bị di động, một khía cạnh quan trọng trong kiểm tra bảo mật. Với sự gia tăng của điện thoại thông minh và máy tính bảng trong môi trường doanh nghiệp và cá nhân, các thiết bị di động trở thành mục tiêu hấp dẫn cho tin tặc.

Chúng ta đã khám phá các lỗ hổng và mối đe dọa phổ biến mà thiết bị di động phải đối mặt, chẳng hạn như phần mềm độc hại, lạm dụng cài đặt mặc định và kẻ tấn công bên trong. Kiểm soát truy cập và mã hóa là rất quan trọng, cũng như việc thực thi các chính sách quản lý thiết bị di động (MDM) để tách biệt và bảo vệ dữ liệu.

Chúng ta cũng đã tìm hiểu về các kỹ thuật tấn công khác nhau mà tin tặc sử dụng để nhắm mục tiêu vào thiết bị di động, chẳng hạn như kỹ thuật xã hội, phần mềm gián điệp, bluejacking và bluesnarfing. Tin tặc có thể tận dụng những lỗ hổng này để đánh cắp dữ liệu nhạy cảm, theo dõi hoạt động và thậm chí kiểm soát từ xa.

Để đối phó với những mối đe dọa này, các chuyên gia bảo mật cần các công cụ và phương pháp chuyên biệt để đánh giá an ninh của thiết bị và ứng dụng di động. Điều này bao gồm việc sử dụng các framework thử nghiệm như OWASP MSTG, kỹ thuật đảo ngược và phân tích mã, kiểm tra xâm nhập động trên các thiết bị thực và tự động kiểm tra API.

Tuy nhiên, đặc biệt quan trọng là phải nhớ rằng an ninh di động là một quá trình liên tục. Với các mối đe dọa và công nghệ mới nổi, các tổ chức phải liên tục đánh giá và cải tiến trạng thái bảo mật của họ. Điều này đòi hỏi sự phối hợp của các nhóm bảo mật, phát triển và vận hành, cũng như nhận thức và đào tạo liên tục cho người dùng cuối.

Đối với những ai đang tự học hoặc muốn củng cố kiến thức của mình, tôi khuyên bạn nên tham gia CompTIA PenTest+ trên TryHackMe và lấy chứng chỉ hoàn thành. Khóa học này cung cấp môi trường thực hành trực quan, cho phép bạn phát triển kỹ năng thực tế về kiểm tra xâm nhập, bao gồm cả an ninh thiết bị di động. Nó là một bổ sung tuyệt vời cho kiến thức lý thuyết và sẽ giúp bạn nổi bật với nhà tuyển dụng.

Hãy nhớ rằng, với sức mạnh của điện toán di động đi kèm là trách nhiệm phải bảo mật nó. Là một chuyên gia bảo mật, bạn đóng một vai trò quan trọng trong việc bảo vệ các tổ chức và cá nhân khỏi các mối đe dọa ngày càng tinh vi trong không gian di động.

Trình bày bởi : Vinh Nguyen Trần Tường
Tài liệu hỗ trợ học tập và ôn thi Chứng Chỉ Quốc Tế CompTIA Pentest +
Chú ý : Các ví dụ chỉ là giả định cho dễ hiểu, không phải là tình huống thực tế.