모바일 광고 어플리케이션 http 패킷 비 암호화의 문제점.hwp


모바일 광고 어플리케이션 http 패킷 비 암호화의 문제점

 

- 임준오 -

최근들어서 많은 모바일 리워드식 광고 어플리케이션이 핫한 추세이다. 하지만 이 어플리케이션들의 보안수준은 아직까지나 현저히 낮은 수준이다. 실제로 빠른시간안에 만들다 보니 안티 디컴파일링은 되어있지 않으며 웹서버와 통신하는 과정도 비 암호화로 이루어진다. 그래서 이런 어플리케이션의 문제점을 찾아봤다.

2012년도 여름, 이제 막 모바일 광고 어플리케이션이란게 어플리케이션 시장에 들어슬 때 잠금화면만 봐도 돈을 벌 수 있는 앱이 히트를 치고있을 때였다. 주변에서 이 앱을 모르는 이가 없을 정도로 핫한 앱이었는데, 이 앱 역시 패킷이 암호화되지 않아 악성 해커가 마음만 먹으면 회사의 손실을 유발할 수 있을 정도의 큰 문제점이 있었다. 바로 자동 추천인이라는 것이다. 광고 앱이 초창기였으므로 친구에게 추천하거나 지인에게 알려주면 추천인 반환 제도라 해서 500원씩 적립시켜주는 제도였다. 그래도 회사에서는 한사람이 한 휴대폰과 전화번호로 여러 계정을 추천시키는 것을 막기위해 안드로이드폰의 고유한 device ID와 휴대전화 정보를 자신의 서버에 저장하여 부정 가입을 막기위해 힘썻다. (그림 - 1)



[그림 -1]

 

이런식으로 POST DATA가 전송된다. 하지만 별다른 토큰값이라던지 해쉬가 보이질 않는다. 여기서 발생가능한 취약점은 무엇일까? 바로 난수를 통해 자동으로 추천인 가입을 시킬 수 있다는 것이다. 실제로 작년 밀어서 돈을 벌 수 있는 모 회사에 이 취약점을 알려 그 후로 토큰 및 해쉬를 이용해서 자동생성을 막고 있다. 하지만 다른 앱들은 이런 노력이 현저히 부족한 정도이다. 아직까지도 개발자의 세큐얼 코딩에 문제가 있음을 말해준다. 전화상으로 몇 번을 통화 해봤지만 개발자가 보안에 대한 개념이 잡혀있지 않아, 어떻게 코딩을 해야될지 모르는개 다반사다. 국가적 차원에서 이런 개발자들을 위한 교육이 필요한 시점이다.

 

그리고 또한 동의 하에 실험을 했는데 실제로 현금 인출 및 모바일 상품권으로 교환 가능한다는 점이다. 서버측에서도 재 인증을 해야 이런일이 일어 나지 않을 것이다.

 

이 글을 작성한 이후에 이런 앱이 많이 만들어질 것 이라고 생각하지만 그 앱들의 개발자들이 이 글을 보고 그 앱의 보안에 조금 더 심열을 기울어 줬으면 하는 바램이다.

 

 


Flash XSS.hwp


예전에 썻던 문서입니다.


오래전에 썻던거라 다소 이상할 수 있습니다.


양해좀 ㅜㅜ