저희 팀내에 있는 연구용 장비들을 가지고 단체사진 한방 찍었습니다.
새로 들어온 아그들도 있고, 아주 잘 자라고(?) 있는 아그들도 있고요~ㅎ
안녕? 고생이 많구나!
고참급?... 한놈한테는 잊지 못할 추억이 있다는거~
노트북인척? 듀얼스크린 노트북이고 싶습니다.
갠역시 공책, 이뻐야한다는 아이패드
달릴일만 남았습니다.
사무실에서...
아침해가 떠도 잡니다.
왜 이래요? 밤 한 번 새본 사람 처럼?
그러나 깨어난 후 어떻게 되었는지 잘모르겠습니다.
스마트폰 사용자가 2000만명을 돌파한 가운데, 이를통한 서비스 뿐만아니라 서비스 이용 사용자가 빠르게 증가하고 있습니다.
사용자 증가 및 편리성으로 인하여 보안 위협이 더욱 높아지고 있으며 이에 따라 많은 연구자들이 보안 위협에 따른 취약점을 연구하고 있습니다.
저희 또한 연구를 꾸준히 진행하고 있으며, 모바일 서비스에 대한 기본적으로 발생가능한 취약점 진단을 실시하고 있습니다.
모바일 서비스의 취약점이 발생할 수 있는 부분은 다음과 같이 분류 됩니다.
|
모바일 디바이스 |
|
모바일 서비스(서버) |
|
모바일 서비스 어플리케이션(클라이언트) |
기본적으로 웹 서비스의 성격을 띄며 어플리케이션의 경우 정보조회 입력 수정 삭제등의 기능을 수행합니다.
이를 통해서 취약점 진단을 할수 있는 항목은 다음과 같습니다.
|
모바일 디바이스 |
권한 상승 디바이스에서 어플리케이션 실행 여부 점검 |
|
모바일 서비스 |
사용자 정보 평문전송 점검 |
|
사용자 인증 정보 우회 가능성 점검 | |
|
입력 값 검증 미흡 | |
|
모바일 어플리케이션 |
모바일 어플리케이션 무결성 검증 (어플리케이션 위변조) |
|
어플리케이션 구동 중 사용자 입력 값으로 인한 비정상 작동 및 행위 가능성 검증 | |
|
어플리케이션 설정파일, 로컬 리소스 등에서 중요 정보 노출 가능성 검증 |
그중 하나인 모바일 어플리케이션 무결성 검증에 대한 위협 시나리오 및 동영상을 제작하였으며, 본 동영상의 화면 및 서버 환경은 실제서비스와는 무관함을 알려드립니다.
시나리오 : 배포중인 어플리케이션 변조를 통한 사용자 개인정보 노출(도청)
1. 타겟 어플리케이션 설정 및 다운로드
2. 어플리케이션 변조 후 배포
3. 피해자 어플케이션 설치, 도청을 통한 개인 정보 유출
http://www.youtube.com/watch?v=G8MG3tm_2W4 (Fuzzing in Backtrack 5 R1 - Part 1)
http://www.youtube.com/watch?v=bAdV9d3XKO4 (Fuzzing BackTrack 5 R1 - Part2)
http://www.youtube.com/watch?v=3Rf96ziD2dw (Fuzzing BackTrack 5 R1 - Part3)
http://www.youtube.com/watch?v=tVV6Wzv2rIc (Fuzzing BackTrack 5 R1 - Part4-Final)
