[14.06.21] 모바일 어플리케이션의 정적 분석을 통한 개인정보 유출 차단
-
Upload
kenny-park -
Category
Education
-
view
96 -
download
6
description
Transcript of [14.06.21] 모바일 어플리케이션의 정적 분석을 통한 개인정보 유출 차단
모바일 어플리케이션의 정적 분석을
통한 개인정보 유출 차단
13045 박현민 13082 이재범
2
연구 계획Chapter 1
2014-06-21
3
연구의 필요성 및 목적
2014-06-21
보안 의식이 요구
검사 없이 배포되는 어플리케이션들
특정 권한이 있을 경우 개인정보가 유출될 수
있음
정적 분석을 통해 유출 위험을 감지하고
해당 경로를 막는 등의 연구가 필요
4
연구내용 및 방법
2014-06-21
ScanDal정적 분석을 통해 어떤 곳에서 어떤 데이터가 유출되는지를 알려줌
개인정보가 유출되는 앱
개인정보가 유출되지 않는 앱
5
월별 연구 추진 계획
일정 내용 세부 계획
~ 5 월 15 일안드로이드 전반 지식
습득
- APK, DEX 등 안드로이드 어플리케이션 파일 구조 파악
- 안드로이드 SDK 내장 툴 (ADB, DexDump, etc.) 사용법
파악
- Smali, AXMLPrinter 등 오픈소스 툴 사용법 파악
- Activity 등의 안드로이드 어플리케이션 구성요소와 작동
원리 파악
- 간단한 앱 직접 작성 실습
5 월 16 일 ~ 6 월 30
일정적 분석 기초
- 요약 해석에 대한 이론 간단히 학습
- 정적 분석기를 실제로 사용해보며 정적 분석에 대해 이해
7 월 1 일 ~ 7 월 15
일앱 변환 구상
- 앱의 어디를 어떻게 변환해야 원하는 기능을 추가할 수
있을지 구상
7 월 16 일 ~ 9 월 30
일앱 변환기 구현
- 앱 코드를 실제로 조작하고 다시 APK 로 패킹 하는 변환기
구현
10 월 1 일 ~ 10 월
31 일평가 및 보완 - 구현된 변환기를 실제로 테스트 해보며 보완
11 월 1 일 ~ 결과 정리 - 결과 보고서 작성2014-06-21
6
연구 결과의 활용과 기대효과
2014-06-21
직접 실행해 보며 유출 지점을 찾는 동적 분석
실행해 보지 않고도 분석해내는 정적 분석실행 시 비용 최소화
예외 발생시에도 처리 가능
7
진행 상황Chapter 2
2014-06-21
8
안드로이드 SDK 내장 툴 사용법 파악
2014-06-21
ADB, AAPT, DexDump, AXMLPrinter2, Smali, BakS-mali
9
유출처럼 행동하는 앱 만들어 보기
2014-06-21
10
정적 분석 관련 강의 시청
2014-06-21
11
앞으로의 방향Chapter 3
2014-06-21
12
차단할 경로
2014-06-21
개인정보가 기기 밖으로 나가는 부분에서 차단
개인정보를 획득하는 부분에서 차단
13
기기 밖으로 나가는 부분 차단
2014-06-21
한계점
• 암호화나 인코딩이 되어 있으면 어떤
형태인지 바로 파악이 힘듦
• 정적 분석의 특성상 진짜 개인정보를
유출하는지 여부를 완벽하게 알 수 없음
개선책 (1)
• 일단 유출되는 부분을 모두 막은 후
실행시켜 보고 , 정상 작동이 되지
않는다면 다시 제한을 해제시킴
개선책 (2)
• 각 어플리케이션에 대해 유출으로
의심되는 부분들에 고유 식별자를
부여하고 , 클라우드 서버를 이용하여
해당 부분에 대한 다른 사람들의 평판을
얻어오고 해당 결과를 사용자에게 통지함
개선책 (3)
• 개인정보를 이용하여 연산하는 모든
부분에 감시할 수 있는 기능을 추가하여
개인정보의 흐름을 추적함
현재 위치 정보 형태인 [37.500265, 127.620461]
데이터가 인터넷을 통해 5.229.6.208 으로 전송되려고
하는 것 같습니다 . 의도한 작업이 맞습니까 ?
개인정보 유출 경고
예 아니오
14
개인정보를 획득하는 부분 차단
2014-06-21
설정
Off위치 정보
OnIMEI
한계점
• 관리를 위해 별도의 어플리케이션을
설치해야 할 필요가 있음
152014-06-21
Q&A
16
감사합니다
2014-06-21