Speaker at CSS Serminar, Seoul National University of Science and Technology, Oct 28 2012

2. About me
* Financial Security Agency
* Financial Service Security Researcher
* Evaluate Authentication Method, Security Architecture
* Security Audit
* Mobile Services Security, Testing
* CIA, CISA

3. Smart Phone Overview

4. Mobile Service Trend

5. Financial Services
- Smart Banking
- Mobile Card
- Smart Wallet
- MTS(Mobile Trading Service)
- Mobile Payment

6. Financial Services

7. Threats & Vulnerabilities

8. Phishing

9. 0-day exploits
스마트폰 어플리케이션 및 OS 커널 취약점을 이용한 해킹 기법이 유포되고
있으며, 신규 0-day 취약점이 지속적으로 발표, 연구
※ 일부 커널 취약점은 기존에 Linux에서 발견된 취약점이 동일하거나 유사한 방식으로 재발생
YTN, 스마트폰 해킹, 백신도 못 막는다! (2011.6)
Jailbreak Me 3.0 (2011.7)
안드로이드 커널 원격코드 실행 취약성(Android WebKit
browser)을 이용하여 악성코드 배포 시연
아이폰 IOS PDF 취약점을 이용하여 웹을 통한 자동
Jail Break 실행

10. Google Wallet Vulnerability

11. Integrity of App
이용자 중요정보, 개인정보
공격자 수집, 외부 전송
정상 APP
전자금융 서버
이용자
스마트폰
전자금융
서버(위장서버)
전자금융 서버로 위장한
위변조 APP 불법 앱 마켓, E-mail , SMS, 서버로 접근 유도
블로그 등을 통한 배포

12. Integrity of App
앱 무결성 검증
- 중요파일 (설치 파일, 바이너리 파일, 리소스 파일 등) 무결성 검사
코드 보호
- 코드 난독화 기술 적용
- 네이티브 라이브러리(Native Library) 적용
- 코드 또는 모듈 업데이트 적용
- 안티디버깅 기술 적용

13. Android Security Testing

14. Mobile Web Service
구분 모바일웹 앱 하이브리드앱
플랫폼 별로 개발 된 앱에
모바일 웹브라우저를 플랫폼 별로 개발 된 앱 웹 프로토콜, 웹 브라우져
구현방식
통한 서비스 제공 을 통해 서비스 제공 모듈(라이브러리) 등의 웹
기술 이용
별도의 앱 설치가 필요 각 플랫폼 별로 앱을 개발
기능 구현의 제약이 웹
없으나 웹 언어에서 제 해야 하나 향후 컨텐츠, 기
방식에 비해 적으나 각
주요특징 공하지 않는 기능(별도 능 변경이 웹 언어를 통해
플랫폼 별로 앱 개발 필
보안프로그램 연동 등) 지원될 수 있으며 기존 홈
요
구현의 제약 발생 페이지 컨텐츠 연동 수월

15. Mobile Web Service
• 기능 구현의 제약이 적음 • OS에 상관없이 웹 접근
(Device 제어, UI구현 등) 으로 이용 가능
• 각 OS 플랫폼 별로 앱
Native App VS Mobile Web • Native App에 비해 개발
용이, 개발기간 단축
개발 필요 • 기능 구현의 제약 발생
모바일 오피스
Hybrid App 스마트폰, 타블렛 뱅킹
포털, 검색, 지도 서비스 등
• 공통화된 HTML을 기반으로 개발 및
업데이트 적용(개발 용이, 기간 단축)
• Device, OS 의 특장점 최대 활용 가능
(n스크린 서비스 연동 등)

16. Hybrid App Architecture
Hybrid App Framework Native
HTML + JavaScript + etc
Web
WebView Device API
Native (iOS/ Android)
Native

17. Hybrid App

18. Android Security Testing
- Android Architecture

19. Android Security Testing
- Multitasking
- Sandbox(←Rooting)
- Permission
- Codesign
- Market, P2P
- Code Audit

20. Android Security Testing
- APK Decompile
- Dynamic Debug
- APK Repackage
- Dynamic Analysis(File, Traffic)
- Server side vulnerability

21. APK Decompile
Tools : Apktools, dex2jar, JD-GUI, DDMS
Extracting *.apk from Android

22. # *.apk → *.zip, zip file extract
# dex2jar c:classes.dex
# jd-gui, open classes_dex2jar

24. ※ ex) c:>apktool.bat d –d [FileName.apk] [Folder]

25. ※ AndroidManifest.xml

26. ※ Resources

27. Dynamic Debug & APK Repackage
Tools : Apktools, Sign-apk, Netbeans
# c:>apktool.bat d –d [FileName.apk] [Folder]
# AndroidManifest.xml
- android:debuggable = "true"
# c:>apktool.bat b –d [Folder]

28. # c:Sign.bat
# install

29. # DDMS - Process

30. Netbeans
[New Project] → [java] → [Java Project with Existing Source]

31. Add Source path

32. Jar file load(Android ver check)
※ ex) Android 2.3.3 – API 10

33. DDMS , Process click
- Netbeans
[Debug] → [Attach Debugger]
※ Debugger : JAVA Debugger, Host : 127.0.0.1, Port : 8700

34. Debug Mode

35. Dynamic Analysis(File)
Tools : DDMS, SQLite Expert

36. Dynamic Analysis(Traffic)
- Capture the air packet(Omnipeek, Airodump)
- Arp Spoofing
- Wireless Lancard Soft AP
- WEB(Proxy)

37. Tools : Wireshark

39. Proxy : Paros

40. Threats & Vulnerabilities

41. NFC(Near Field Communication)
Set of communication protocols based on RFID
standards including ISO 14443
Operating range less than 4 cm

44. NFC Architecture

46. App Vulnerability
 App Vulnerability
• Cloud
• Game
• Market
 Finding Vulnerability
• 0-day exploit
 Books & Papers
• iOS Hacker’s Handbook
• Hacking Exposed Web Applications
• Penetration Testing Android Application –Kunjan Shah
• Penetration Testing iPhone / iPad Application –Kunjan Shah

47. End