모바일 광고 어플리케이션 http 패킷 비 암호화의 문제점.hwp


모바일 광고 어플리케이션 http 패킷 비 암호화의 문제점

 

- 임준오 -

최근들어서 많은 모바일 리워드식 광고 어플리케이션이 핫한 추세이다. 하지만 이 어플리케이션들의 보안수준은 아직까지나 현저히 낮은 수준이다. 실제로 빠른시간안에 만들다 보니 안티 디컴파일링은 되어있지 않으며 웹서버와 통신하는 과정도 비 암호화로 이루어진다. 그래서 이런 어플리케이션의 문제점을 찾아봤다.

2012년도 여름, 이제 막 모바일 광고 어플리케이션이란게 어플리케이션 시장에 들어슬 때 잠금화면만 봐도 돈을 벌 수 있는 앱이 히트를 치고있을 때였다. 주변에서 이 앱을 모르는 이가 없을 정도로 핫한 앱이었는데, 이 앱 역시 패킷이 암호화되지 않아 악성 해커가 마음만 먹으면 회사의 손실을 유발할 수 있을 정도의 큰 문제점이 있었다. 바로 자동 추천인이라는 것이다. 광고 앱이 초창기였으므로 친구에게 추천하거나 지인에게 알려주면 추천인 반환 제도라 해서 500원씩 적립시켜주는 제도였다. 그래도 회사에서는 한사람이 한 휴대폰과 전화번호로 여러 계정을 추천시키는 것을 막기위해 안드로이드폰의 고유한 device ID와 휴대전화 정보를 자신의 서버에 저장하여 부정 가입을 막기위해 힘썻다. (그림 - 1)



[그림 -1]

 

이런식으로 POST DATA가 전송된다. 하지만 별다른 토큰값이라던지 해쉬가 보이질 않는다. 여기서 발생가능한 취약점은 무엇일까? 바로 난수를 통해 자동으로 추천인 가입을 시킬 수 있다는 것이다. 실제로 작년 밀어서 돈을 벌 수 있는 모 회사에 이 취약점을 알려 그 후로 토큰 및 해쉬를 이용해서 자동생성을 막고 있다. 하지만 다른 앱들은 이런 노력이 현저히 부족한 정도이다. 아직까지도 개발자의 세큐얼 코딩에 문제가 있음을 말해준다. 전화상으로 몇 번을 통화 해봤지만 개발자가 보안에 대한 개념이 잡혀있지 않아, 어떻게 코딩을 해야될지 모르는개 다반사다. 국가적 차원에서 이런 개발자들을 위한 교육이 필요한 시점이다.

 

그리고 또한 동의 하에 실험을 했는데 실제로 현금 인출 및 모바일 상품권으로 교환 가능한다는 점이다. 서버측에서도 재 인증을 해야 이런일이 일어 나지 않을 것이다.

 

이 글을 작성한 이후에 이런 앱이 많이 만들어질 것 이라고 생각하지만 그 앱들의 개발자들이 이 글을 보고 그 앱의 보안에 조금 더 심열을 기울어 줬으면 하는 바램이다.

 

 


dll injector.zip




x1njector 입니다.


dll 과 프로세스를 잡아주면 자동으로 dll 인젝션 시켜주죠


dll injection 관련된 문제 푸실때 도움되실듯 합니다.

'forensic' 카테고리의 다른 글

DLL INJECTOR 다운로드  (0) 2013.08.24
어느 환경에서든 프로그래밍 언어를 잘 사용하려면 외부 라이브러리가 필요하다.

리눅스에서 파이썬 외부 라이브러리를 설치하는 방법을 알아보자.

백트랙에서는 easy installer 모듈을 제공한다 이모듈을 이용해

"easy_install python-nmap" 을 치게되면 자동으로 설치가 된다.





'python' 카테고리의 다른 글

파이썬 nmap 라이브러리 설치하기  (0) 2013.03.19
python 파이썬 사용가능 환경 구축하기  (0) 2013.03.18

파이썬 공부를 하기전에 파이썬을 사용할 수 있는 환경을 구축해야된다.

Backtrack같은 운영체재를 설치할 시에는 자동으로 같이 설치되지만 윈도우 같은 경우에는 직접 설치해주어야 한다.


http://www.python.org/download/


↑ 주소에서 윈도우용 파이썬을 다운받은후 CMD(명령 프로토톰)에서 직접 실행이 가능하지만


GUI를 사용하기 위해서는 툴을 설치해야된다.

http://search.naver.com/search.naver?sm=tab_hty.top&where=nexearch&ie=utf8&query=python+IDLE&x=-595&y=-51


python IDLE이라는 것을 설치해주면 사용가능하다.


나는 Windows 상에서 virtual box를 이용해 백트랙을 구동하여 파이썬을 사용중이다.




'python' 카테고리의 다른 글

파이썬 nmap 라이브러리 설치하기  (0) 2013.03.19
python 파이썬 사용가능 환경 구축하기  (0) 2013.03.18