스마트폰 사용자가 2000만명을 돌파한 가운데, 이를통한 서비스 뿐만아니라 서비스 이용 사용자가 빠르게 증가하고 있습니다.
사용자 증가 및 편리성으로 인하여 보안 위협이 더욱 높아지고 있으며 이에 따라 많은 연구자들이 보안 위협에 따른 취약점을 연구하고 있습니다.
저희 또한 연구를 꾸준히 진행하고 있으며, 모바일 서비스에 대한 기본적으로 발생가능한 취약점 진단을 실시하고 있습니다.
모바일 서비스의 취약점이 발생할 수 있는 부분은 다음과 같이 분류 됩니다.
|
모바일 디바이스 |
|
모바일 서비스(서버) |
|
모바일 서비스 어플리케이션(클라이언트) |
기본적으로 웹 서비스의 성격을 띄며 어플리케이션의 경우 정보조회 입력 수정 삭제등의 기능을 수행합니다.
이를 통해서 취약점 진단을 할수 있는 항목은 다음과 같습니다.
|
모바일 디바이스 |
권한 상승 디바이스에서 어플리케이션 실행 여부 점검 |
|
모바일 서비스 |
사용자 정보 평문전송 점검 |
|
사용자 인증 정보 우회 가능성 점검 | |
|
입력 값 검증 미흡 | |
|
모바일 어플리케이션 |
모바일 어플리케이션 무결성 검증 (어플리케이션 위변조) |
|
어플리케이션 구동 중 사용자 입력 값으로 인한 비정상 작동 및 행위 가능성 검증 | |
|
어플리케이션 설정파일, 로컬 리소스 등에서 중요 정보 노출 가능성 검증 |
그중 하나인 모바일 어플리케이션 무결성 검증에 대한 위협 시나리오 및 동영상을 제작하였으며, 본 동영상의 화면 및 서버 환경은 실제서비스와는 무관함을 알려드립니다.
시나리오 : 배포중인 어플리케이션 변조를 통한 사용자 개인정보 노출(도청)
1. 타겟 어플리케이션 설정 및 다운로드
2. 어플리케이션 변조 후 배포
3. 피해자 어플케이션 설치, 도청을 통한 개인 정보 유출
