안드로이드 스마트폰 뱅킹 앱 무결성 검증 기능의 취약점 연구

Vol. 23, No. 4, pp. 743-756, 8월. 2013
10.13089/JKIISC.2013.23.4.743, Full Text:
Keywords: Android, Smartphone Banking, Application Integrity, Reverse engineering
Abstract

최근, 정상 앱에 악성코드를 추가하여 안드로이드 마켓에 재배포 되는 악성 앱들이 발견되고 있다. 금융거래를 처리하는 뱅킹 앱들이 이와 같은 공격에 노출되면 인증정보 및 거래정보 유출, 부정거래 시도 등 많은 문제점들이 발생할 수 있다. 이에 대한 대응방안으로 금융당국이 관련 법규를 제정함에 따라 국내 은행들은 뱅킹 앱에서 무결성 검증기능을 제공하고 있지만, 해당 기능의 안전성에 대한 연구는 이루어진 바가 없어서 신뢰하기 어렵다. 본 논문에서는 안드로이드 역공학 분석 기법들을 이용하여 뱅킹 앱의 무결성 검증 기능 취약점을 제시한다. 또한, 제시한 취약점이 이용될 경우, 실제 뱅킹 앱의 무결성 검증 기능이 매우 간단하게 우회되어 리패키징을 통한 악성코드 삽입 공격이 이루어질 수 있으며 그 위험성이 높다는 것을 실험결과로 증명한다. 추가적으로, 취약점을 해결하기 위한 방안들을 구체적으로 제시함으로써 앱 위변조 공격에 대응하여 스마트폰 금융거래 환경의 보안 수준을 높이는데 기여한다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
S. Kim, S. Kim, D. H. Lee, "A study on the vulnerability of integrity verification functions of android-based smartphone banking applications," Journal of The Korea Institute of Information Security and Cryptology, vol. 23, no. 4, pp. 743-756, 2013. DOI: 10.13089/JKIISC.2013.23.4.743.

[ACM Style]
Soonil Kim, Sunghoon Kim, and Dong Hoon Lee. 2013. A study on the vulnerability of integrity verification functions of android-based smartphone banking applications. Journal of The Korea Institute of Information Security and Cryptology, 23, 4, (2013), 743-756. DOI: 10.13089/JKIISC.2013.23.4.743.