| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 |
Tags
- 데이터베이스
- db
- 무결성 제약조건
- ZIP
- 데이터 무결성
- __main__
- rps.apk
- r
- 인자 전달
- Pay1oad
- ADB
- RPS
- 릴레이션 생성
- enumerate
- android
- SQL
- SECCON
- Android 디컴파일
- CodeEngn
- select
- Database
- 스키마 생성
- __name__
- Python
- main
- Programming
- sys
- Android 서명
Archives
- Today
- Total
블로그
안드로이드용 금융 관련 앱 30개 해킹해 분석했더니.. 본문
기사 링크
기사 내용 발췌
이름은 밝히지 않았지만...30개 거의 전부가 취약점 다수 보유해암호화도 약하고, 백엔드 주소도 노출시켜...총 11개 유형의 취약점 나와
[보안뉴스 문가용 기자] 보안 업체 악산 테크놀로지스(Arxan Technologies)가 30개의 모바일 금융 애플리케이션들을 리버스 엔지니어링 했고, 거의 모든 앱에서 민감한 정보를 발견할 수 있었다고 발표했다. 이 정보들을 통해 마음만 먹으면 애플리케이션 프로그래밍 인터페이스(API) 키들을 복구시켜 백엔드 서버를 공격함으로써 사용자 데이터를 침해할 수도 있었다고 그는 설명했다.
...
보고서를 작성하는 동안 애플리케이션 하나를 크래킹 하는 데 걸린 시간은 불과 8.5분이라고 나이트는 덧붙였다. “앱의 코드를 자유롭게 열람하고, API를 식별해내며, 파일 이름을 읽어내고, 민감한 정보에 접근할 수 있는 데까지 걸린 시간이 평균 8.5분이라는 겁니다. 다 바이너리 보호 기능이 부족했기 때문에 가능한 것이었습니다.”
나의 의견
어려운 CTF문제는 아니지만 직접 간단한 안드로이드 어플 리버싱 문제를 풀어보면서 리버싱 툴을 사용하거나 어플을 뜯어서 smali 코드를 분석하면 생각보다 쉽게 해킹이 가능하다는 것을 느낄 수 있었다.
기사에서처럼 이렇게 쉽게 어플들을 해킹 할 수 있다면 정말 큰 피해가 있을 것 이라고 생각되기 때문에 항상 보안에 신경써야 한다는 점을 느낄 수 있었다. 그리고 항상 어플의 보안을 생각했을 때는 어플의 데이터를 기기내부에 직접 저장하는 일은 없어야한다고 생각한다!!
'Article > 빅데이터 & AI & 보안' 카테고리의 다른 글
| 기업 IoT 데이터 트랜잭션 90% 암호화 안돼... (0) | 2019.05.23 |
|---|---|
| 의료기기의 IoT보안, 누가 책임져야 할까? (0) | 2019.05.16 |
| '구글 홈'이 내말을 엿듣고 있을까? (0) | 2019.05.06 |
| 마이크로소프트, AI 기반 통합 보안 솔루션 공개 (0) | 2019.04.09 |
| 보안에도 활용되는 AI, 해킹에도 유용 (0) | 2019.04.05 |
Comments