Розробка системи безпеки клієнт-серверного застосунку на базі операційної системи Android

Abstract

В сучасному світі неможливо обійтися без використання різного роду систем комунікації. Вони стали невід’ємною частиною нашого життя. Майже кожна сучасна людина користується тою чи іншою системою обміну інформації з іншими людьми. Частіше всього для обміну інформацією використовуються мобільні платформи. В переважній більшості це такі платформи як Android, iOS та Windows Phone. Інформація, яка передається від одного користувача до іншого, часто може бути конфіденційною або з обмеженим доступом. Для цього мають використовуватися відповідні методи захисту інформації. Сьогодні увага дослідників інформаційної безпеки зосереджена на покращенні роботи криптографічних алгоритмів та примітивів, на яких вони засновані. Тим не менш, питання побудови комплексних систем захисту в системах обміну миттєвими повідомленнями залишаються розглянутими недостатньо. Дана стаття присвячена розробці комплексної системи захисту застосунку для обміну миттєвими повідомленнями. Будь який застосунок для роботи з миттєвими повідомленнями складається з трьох основних частин. Першою складовою частиною є програмний код, виконуваний на мобільній платформі. Другою частиною є канал зв’язку. Останньою частиною є програмний код, виконуваний на стороні серверу. В даній статті розглянуто кожну з основних частин для побудови комплексної системи захисту застосунку для обміну миттєвими повідомленнями. Обґрунтовано вибір тих чи інших компонентів для побудови системи захисту, приведено схеми роботи програмного коду виконуваного на мобільній платформі Android, обґрунтовано вибір форм передачі користувацької інформації через канал зв’язку. Надано рекомендації по вибору каналу зв’язку та забезпеченню його безпеки. Також приведено схеми роботи серверної сторони застосунку. Обґрунтовано вибір тих чи інших хеш-функцій, функцій перевірок вхідної інформації, підходів до реалізації системи захисту, системи зберігання і обробки користувацької інформації на стороні серверу. У застосунку також продемонстровано деякі недоліки поточної версії мобільної платформи Android з точки зору інформаційної безпеки. Показано, як зловмисники можуть використати ці недоліки, та надано поради по уникненню їх експлуатації зловмисником. Результати роботи можуть бути використані для захисту інформації у подібних застосунках.

In today's world it is impossible to do without the use of various communication systems. They are now the integral part of our lives. Almost every modern person uses one or another system of information exchange with other people. Mobile platforms are most often used for information exchange. The vast majority are platforms such as Android, iOS and Windows Phone. Information transmitted from one user to another can often be confidential or restricted. So, the appropriate methods of information protection should be used for this purpose. Today, information security researchers focus on improving the performance of cryptographic algorithms and the primitives on which they are based. Nevertheless, the issues of building of integrated security systems for instant messaging systems remain insufficiently considered. This paper is devoted to the development of a comprehensive application protection system for instant messaging. Any IM application consists of three main parts. The first component is the program code executed on a mobile platform. The second part is the communication channel. The last part is the program code executed on the server side. This paper discusses each of the main parts for building a comprehensive application protection system for instant messaging. The choice of certain components for building a security system is substantiated, the schemes of operation of the program code executed on the Android mobile platform are given, the choice of forms of transmission of user information through the communication channel is substantiated. Recommendations for choosing a communication channel and ensuring its security are given. The schemes of the server side of the application are also given. The choice of certain hashes functions, functions of input information checks, approaches to the implementation of the protection system, storage system and processing of user information on the server side is substantiated. The developed application also shows some shortcomings of the mobile platform Android in terms of information security. It is shown how attackers can take advantage of these shortcomings, and suggestions to prevent their use are provided. The results of the work can be used to protect information in practical systems.