跳到主要內容

臺灣博碩士論文加值系統

(44.201.99.222) 您好!臺灣時間:2022/12/05 21:56
字體大小: 字級放大   字級縮小   預設字形  
回查詢結果 :::

詳目顯示

: 
twitterline
研究生:謝致宏
研究生(外文):Hsieh, Chih-Hung
論文名稱:手機應用程式隱私窺探報告 ― 以 MitmProxy 實作
論文名稱(外文):A Report on Mobile Apps Privacy Invasion using MitmProxy
指導教授:洪朝貴洪朝貴引用關係
指導教授(外文):Hung, Chao-Kuei
口試委員:張林煌薛夙珍
口試委員(外文):Chang, Lin-HuangHsueh, Sue-Chen
口試日期:2020-03-18
學位類別:碩士
校院名稱:朝陽科技大學
系所名稱:資訊管理系
學門:電算機學門
學類:電算機一般學類
論文種類:學術論文
論文出版年:2020
畢業學年度:108
語文別:中文
論文頁數:51
中文關鍵詞:手機APP隱私洩漏封包分析
外文關鍵詞:mobile appsprivacy leakpacket analysis
相關次數:
  • 被引用被引用:0
  • 點閱點閱:133
  • 評分評分:
  • 下載下載:16
  • 收藏至我的研究室書目清單書目收藏:0
隨著平板電腦、智慧型手機的普及與成長,帶動近年來手機應用程式(App)的快速興起,各式各樣的應用程式可以幫助使用者的工作變得更加簡單方便、迅速了解所有的最新資訊,也能帶來更多娛樂性。開發人員不斷地創新開發與改善手機應用程式,使得手機應用程式已是我們生活中不可或缺的一部分,但是隱私洩漏問題則是隨之而生且被熱烈討論的話題。雖然現在多數人都比較有隱私意識了,但多數使用者往往還是會同意任何在手機上出現的權限要求,因為他們只想要儘快開始使用那些手機軟體。
本篇論文先以Wireshark來做手機APP隱私洩漏偵測與分類,接著以Mitmproxy分析手機APP發送之HTTP(S)網路封包內容,監測這些手機APP是否在使用者未授權情況下擅自傳送敏感資料封包給伺服器,並進一步觀察這些APP傳送的封包是否含有不該取得之資料。
Mobile applications have been developed rapidly in recent years. A wide variety of applications can help us organize our work, let us see all the latest information at a glance. So life becomes easier and more fun. Developers are working to improve their mobile applications constantly, making these applications occupy a large part of our lives. However, the issue of data privacy has also emerged, and it has become a hot topic of discussion. Even everyone has become conscious of privacy, many users often click on any message that appears on their phone because they only want to be able to start using their phone software as soon as possible.
In this paper, we use Wireshark to detect and classify the privacy risks of mobile applications. Then, we use Mitmproxy (man-in-the-middle) to analyze HTTP (S) packets sent by the mobile applications, monitoring whether these mobile apps send sensitive data to the server without the user's authorization, and observe whether packets sent by these Apps contain information that should not be obtained.
目錄
摘要 I
Abstract II
誌謝 III
目錄 IV
表目錄 VI
圖目錄 VII
第一章、緒論 1
1.1 研究背景與動機 1
1.2 研究目標 3
1.3 研究步驟 3
第二章、文獻探討 4
2.1 Android 系統架構 4
2.1.1 應用程式 5
2.1.2 應用程式框架 6
2.1.3 函式庫 6
2.1.4 Android執行環境 7
2.1.5 Linux核心 8
2.2 網路傳輸協定 8
2.2.1 Http協定 9
2.2.2 Https協定 9
2.3數位憑證 10
2.4 隱私洩漏 11
第三章、研究架構與工具介紹 12
3.1研究架構 12
3.2 Wireshark簡介 13
3.3 Wireshark的主要功能 14
3.4 Mitmproxy簡介 14
3.5 Mitmproxy運作方式 15
3.5.1 抓取HTTP連接 17
3.5.2 抓取HTTPS連接 17
第四章、系統實作 19
4.1安裝Mitmproxy 19
4.2啟用IP轉發和通訊埠重導向 19
4.3執行Mitmproxy 20
4.4安裝Mitmproxy CA憑證至手機 21
4.5更改手機的Proxy Server 24
4.6 觀察可疑APP之封包內容 25
4.6.1 Camera360以及美圖秀秀上傳使用者照片 25
4.6.2 Truecaller發送使用者的手機通訊錄 29
4.6.3會傳送音樂清單的遊戲軟體 31
4.6.4 影片編修軟體發送使用者影片檔 33
第五章、實驗結果 37
5.1手機應用程式存取資料之檢測結果 37
5.2來自F-Droid的開源手機應用程式 39
5.3手機應用程式發送封包之檢測結果 41
第六章、結論 44
參考文獻 49



表目錄
表4.1.1 安裝Mitmproxy主程式與相關套件指令 19
表4.2.1 開啟IP轉發與重導port號 20
表5.1.1 Apps之Permission比較 38
表5.2.1 Apps come from F-Droid之Permission比較 40
表5.3.1 Apps封包傳送之資料檢測結果 42


圖目錄
圖2.1.1 Android的系統架構 5
圖2.1.4.1 Android系統中Java執行過程 7
圖2.2.1.1 HTTPS協議 10
圖3.1.1研究架構圖 13
圖3.5.1 Mitmproxy扮演中間人 16
圖4.3.1 Mitmproxy的工作視窗 21
圖4.4.2 Android手機安裝CA憑證檔的步驟-1 23
圖4.4.3 Android手機安裝CA憑證檔的步驟-2 23
圖4.5.1 Android手機設定Proxy主機步驟 25
圖4.6.1 Camera360封包內網址貼入瀏覽器後顯示之圖片 27
圖4.6.2 美圖秀秀封包內網址貼入瀏覽器後顯示之圖片 28
圖4.6.3 算命大師遊戲啟始畫面 31
圖4.6.4 手機音樂清單 32
圖4.6.5 經手機編修完影片之詳細資料 34
圖4.6.6 疑似影片的連結網址貼入瀏覽器後呈現手機內影片 36
圖6.1 查看Apps要求的權限 45
圖6.2 同為手電筒Apps所要求的權限差異 46
圖6.3 從設定中獨立關閉或開啟權限 47

[1]GoldenMr(2015),Ingress Hacking,部落格文章,檢自:
http://hkgoldenmra.blogspot.tw/
[2]iThome(2014),HTTPS網站居主流,資安重新定義,檢自:
https://www.ithome.com.tw/tech/93108
[3]Jack Chen(2017),Android 系統架構和應用元件那些事,中文技術分享平台,檢自:https://itw01.com/FGR9EBX.html
[4]孔鴻濱、梅芳、薛崗(2016),「檢測分析隱蔽 HTTP / HTTPS 通信流量的方法及實現」,雲南大學學報,第56 - 60頁。
[5]林致宇(2014),Android系統架構,Android程式設計入門與應用(第一章),全華出版社,第4 - 6頁。
[6]孫傳雄研究室(2013),Android 的系統架構,檢自:
http://in.gururu.tw/2010/09/android-2-android.html
[7]張瑋倫(2016),你的手機可能也中標了,全球 7 億支 Android資料外洩到中國,科技報橘,檢自:
https://buzzorange.com/techorange/2016/11/17/7-hundred-million-android-cell-phone-has-been-monitored/
[8]鳥哥的 Linux 私房菜(2003),網路概念,檢自:
http://linux.vbird.org/linux_server/0110network_basic.php
[9]資安趨勢部落格(2012),你沒被告知的手機程式與資料外洩,檢自:https://blog.trendmicro.com.tw/?p=1333
[10]網管人技術專欄(2008),網路封包分析的好幫手Wireshark,檢自:
http://www.netadmin.com.tw/article_content.aspx?sn=0808050013
[11]盧永山(2016),中國藏「後門」 7億Android手機遭監控,自由時報,檢自:http://news.ltn.com.tw/news/focus/paper/1052982
[12]謝宜蓁(2014),Android 應用程式安全性分析─以雲端資料櫃App為例,碩士論文,國防大學管理學院資訊管理學系碩士班,第9 - 13頁。
[13] Oracle Corporation and/or its affiliates(2010),憑證和SSL 簡介,檢自:https://docs.oracle.com/cd/E19900-01/820-0848/6nciel12m/index.html
[14]Mitmproxy(2016). MitmProxy Docs. Retrieved from http://docs.mitmproxy.org/en/latest/mitmproxy.html
[15] Tim Bray(2012). Re:What Android Is [Web log post]. Retrieved from http://www.tbray.org/ongoing/When/201x/2010/11/14/What-Android-Is
[16] Karan Kumar(2015). Re:MITM Tools [Web log post]. Retrieved from http://karankumar.co.uk/2017/04/17/mitmproxy-mitm/
[17]CloudShark(2017). Re:What can I do with my Aerohive captures once they are in CloudShark? [Web log post]. Retrieved from
https://support.cloudshark.org/user-guide/https-interception.html
[18]Philipp C. Heckel (2013). Re:How To: Use mitmproxy to read and modify HTTPS traffic[Web log post]. Retrieved from
https://blog.heckel.xyz/2013/07/01/how-to-use-mitmproxy-to-read-and-modify-https-traffic-of-your-phone/
[19]Leavitt (2013), "Today’s Mobile Security Requires a New Approach", IEEE Computer Society, pp. 16-19.
[20]Timothy A. Chadza, Francisco J. Aparicio-Navarro, Konstantinos G. Kyriakopoulos,& Jonathon A. Chambers(2017) , "A Look Into the Information Your Smartphone Leaks", IEEE Computer Society, pp. 1-7.
QRCODE
 
 
 
 
 
                                                                                                                                                                                                                                                                                                                                                                                                               
第一頁 上一頁 下一頁 最後一頁 top