2.1차 중간 보고

                 종합설계 프로젝트 1차 중간보고서 요약

팀명

오미자

제출일

2014년 4월 3일

프로젝트 제목

안드로이드 어플리케이션 취약점 분석 자동화 툴

설계프로젝트 개요

프로젝트 수행 내용 및 중간 결과

프로젝트 요약문

목표:

분석을 통해취약점 점검을 할 대상을 탐색하고그것을 통해 취약점 점검을 하여 사용자에게결과를 리포팅해주는 자동화 시스템을 개발한다.

 

개발 내용:

1.     어플리케이션이 접근하는 DB에 안전하게 접근/통신하는지 검사

2.     어플리케이션이 접근하는 Web Server/ Web Browser 의 보안성 검사

3.     Activity Stack/ Intent Stack분석

4.     시스템 내에 Log로 정보 유출 여부 검사

5.     네트워크 패킷 암호화 유무 점검

 

OWASP에서 어플리케이션의 취약점 TOP10을 발표할 정도로안드로이드 스마트폰 환경에서 어플리케이션의 취약점이 많다.

<안드로이드의 취약점 중 어플리케이션과 os의 비중>

 

 <OWASP이 발표한 어플리케이션취약점TOP10>


안드로이드 스마트폰에 어플리케이션으로 인한 취약점 노출이 많은 현황이다.



마일스톤 수행 내용

1. 클라이언트

 - 어플리케이션 취약점 분석을 위한 어플리케이션 UI를 제작하였으며, 모바일 내부의 어플리케이션 리스트를 추출해 내었다. 

 - 모바일 내부 어플리케이션을 Apk파일로 추출하는 모듈을 구현하였다.

 - Apk파일을 서버로 전송할 수 있도록 Http통신의 경량 파일 전송모듈을 구현하였다.

2. 서버

 - 프로잭트를 진행할 서버 구축을 완료하였다. Backtrack OS 위에 웹서버를 구축하였고, Apk파일에 대한 리버싱 작업을 수행하기 위해 Android Reversing Engineering 모듈을 설치하였다.

 - 전달받은 Apk파일에 대해 동적 분석을 통해 서버 URL, 접근 웹페이지, 패키지 리스트를 추출해 내었다.

 - 정적 분석을 위해 Apk파일을 디컴파일하여 소스코드를 추출하는 자동화 시스템을 구현하였다.

 - 어플리케이션에서 접근하는 서버에 대한 취약점 분석 모듈을 위해 타겟 서버의 트래픽 제어모듈을 구현하였다.

계획서 상의 마일스톤 진도 비교 분석

1. 클라이언트

- 클라이언트는 수행계획서 계획한 것보다 앞서있는 상태이다. 클라이언트의 전체적인 구성과 모듈이 완성되었고, 취약점 완료 푸시 메세지를 위한 GCM구현만을 남기고 있다.

2. 서버

- Preprocessing 모듈이 80퍼센트 완성이 된 상태이다. 전 처리모듈을 마친 후, 어플리케이션 취약점 분석의 핵심인 기술 구현을 남겨두고 있다. 그 중, 어플리케이션에서 접근하는 서버에 대한 취약점 분석 모듈은 3분의1 완성되어 있다.


3. 결과

- 현재, 오미자 3조 프로젝트는 수정내용이 없으며, 본래 계획했던 대로 프로젝트 진행되고 있다.


동영상

YouTube 동영상


다음 마일스톤 일정

 클라이언트 안드로이드의 구조는 모두 구현이 완료되어 리포팅모듈의 구현만을 남긴 생태이고,어플리케이션 취약점이 완료 될시푸시 알림 서비스를 제공할 GCM(Google Cloud Message)서비스만을 남겨두고 있다.또한 현재까지 Preprocessing 모듈의 80%가 구현되어있다.프로젝트의 핵심이 되는 기능인 취약점 분석모듈을 위한 Preprocessing 모듈 구현 작업을 마무리 한 후,취약점 분석모듈 구현에 들어갈 예정이다


취약점 분석의 핵심 기술 부분 구현

1. Insecure Data Storage(안전하지 않은 데이터 저장)

2. Weak Server Side Controls

- 어플리케이션에서 접근하는 웹페이지 분석

- 어플리케이션에서 접근하는 서버 분석

3. Improper Session Handling(부적절한 세션 처리)

4. Insufficient Transport Layer Protection (불충분한 전송 계층 보호)

5. Side Channel Data Leakage(주변 채널에 의한 데이터 누수)

첨부화일 (아래 안내는 첨부 후에 삭제할 것)


Ċ
3조 캡스톤,
2014. 4. 3. 오전 6:45