[기록일지] 📚 20주차 (모바일 앱 모의해킹)

모바일 앱 해킹 vs 모바일 해킹

모바일 해킹과 모바일 앱 해킹은 같은 것이 아니다.

모바일 해킹은 스마트폰 자체를 해킹하는 것으로, 카메라를 제어하고, 녹음기능을 활성화 하는 등의 해킹은 모바일 해킹으로 모바일 OS, 즉 안드로이드나 iOS와 같은 것을 해킹하는 것을 말한다.

모바일 앱 해킹은 모의해킹에서 진행하는 것으로 웹 해킹과 비슷하다고 할 수 있다.

웹 개발 - 웹 애플리케이션 개발
웹 해킹 - 웹 애플리케이션 해킹

웹 개발과 웹 해킹은 사실 웹 애플리케이션을 개발하고 해킹하는 것을 뜻 하기 때문에 비슷하다고 할 수 있는 것이다.

웹 개발과 웹 해킹을 한다는 것은 웹 서버 위에서 실행되는 애플리케이션을 만들고, 거기서 발생하는 취약점을 찾은 것이다.

모바일 앱 해킹은 모바일 애플리케이션 해킹으로서 스마트폰 자체를 해킹하는 것이 아니라 스마트폰의 애플리케이션에서 발생하는 취약점을 찾는 것이다.

모바일 앱의 경우 일반적으로 금취분평을 기준으로 한다.

---

모바일 앱 해킹

모바일 앱 해킹이 필요한 이유

그렇다면 모바일 앱 해킹은 왜 해야하는 걸까?

웹 해킹을 하는 이유는 웹 사이트에 대하여 "모의해킹을 진행하는 이유는 모든 회사가 웹 사이트가 있으니까"이다.

이와 같이 모바일 앱에 대하여 모의해킹을 진행하는 이유는 왠만한 회사들은 자체 모바일 앱이 있으니까 라고 할 수 있다.

모바일 앱 해킹의 취약점

서버 측 취약점

애플리케이션이 실행되면, 데이터를 어떤 서버에서 가져올 것이다. 애플리케이션에서 이용하는 앱 서버를 API 서버라고 하며, 이 서버와의 통신에서 발생하는 취약점을 찾는 것이다.

 

단말기 취약점

단말기 취약점은 한가지 가정을 하고 들어간다.

| 가정 : 공격자(해커)가 피해자의 단말기를 탈취했을 때. or 악성코드로 감염시켰을 때

위와 같이 단말기 자체가 이미 공격에 노출된 상태를 가정하고 진행하는 취약점이다.

사용자의 정보를 단말기 내부에 저장한다고 생각해보자, 예시로 자동 로그인의 경우 예전에는 기기 내부에 아이디/비밀번호를 그대로 저장해 두었다고한다. 이것이 평문으로 저장되어 있다면 해당 내용을 스파이웨어를 통해 탈취하여 크리덴셜 스터핑을 통해 연이은 해킹이 가능해진다는 것이다.

그러므로 다음과 같은 사항에 대하여 확인해봐야 한다.

1) 이용자의 정보 안전하게 보관했는지 여부
2) 앱의 흐름 제어했을 때 문제가 발생하는지 여부

---

모바일 앱 취약점

(앱) 서버 측 취약점

대부분의 모바일 통신은 HTTP 통신을 이용한다.

HTTP 통신은 웹에서 사용하는 통신 방식이다. 그렇다면 왜 모바일 전용으로 통신을 따로 만들지 않고 이렇게 사용하는 것일까?

웹 사이트 / 웹 서버 - (API) 

API를 이용하면 통신이 깔끔하고, 구현이 쉽고, 기존의 웹 사이트와의 연동이 쉬워지기 때문이다. 그래서 웹 서버를 이용하여 구현하려고 하는 것이다.

모바일 앱의 카테고리

모바일 앱에서 통신을 어떻게 하고 있느냐에 따라서 모바일 앱의 카테고리를 분류할 수 있다.

통신 기반 모바일 앱 분류
(1) 웹 앱 : 웹 사이트를 그대로 모바일 앱으로 이관한 것
(웹 브라우저를 이용하여 반응형으로 구현)
(2) 하이브리드 앱 : API, HTTP  구현
(3) 네이티브 앱 : TCP 통신

 

카테고리 별 모의해킹

(1) 웹 앱

전형적인 웹 앱 : ex) 보안뉴스

웹 앱인지 확인된다면, 모바일 버전 도메인이 있는지 확인해본다.

웹 앱 취약점은 PC로도 찾을 수 있기 때문에 Burp를 이용하여 찾고, 단말기 취약점만 따로 찾는다.

F12 개발자 메뉴 -> 좌측 상단의 (Toggle Device Toolbar를 클릭) -> 웹 앱

 

(2) 하이브리드 앱

Burp Suite -> 프록시(Proxy) 설정 -> 프록시(Proxy) 리스너(Listener)
리스너(Listener)에서 해당하는 포트를 열도록 설정한다.

Burp 프록시 설정
브라우저 --- Burp(프록시 리스너) --- 서버

브라우저 프록시 설정
웹 브라우저 -> 설정 -> 컴퓨터 프록시

노트북(컴퓨터)과 모바일이 동일한 Wifi 상에 존재해야한다.

(녹스 앱 플레이어 (에뮬레이터) 이용 가능)

Wifi -> 고급 옵션 -> 프록시 -> 수동 -> ip 주소 작성 / 포트 설정

http 를 이용한 통신에서 오고가는 데이터에 대해서는 Burp를 거치게 된다.

(https - Burp의 인증서가 설치되어 있어야 한다.)

> Android Burp 인증서 설치
> iOS Burp 인증서 설치

컴퓨터에서 사용하는 IP 주소는 서버가 아니므로 고유한 IP 주소가 아니다. 그러므로 반드시 동일 Wifi선 상에 있어야한다.

내부/외부 IP 주소 중에 우리가 일반적으로 쓰는 것이 내부 IP주소이기 때문으로, LTE 통신의 경우 네트워크가 다르기 때문에 사용이 불가능한다.

 

(3) 네이티브 앱

Burp를 통해 볼 수 있는 것은 http 웹 통신 뿐이다. 하지만 네이티브 앱의 경우 TCP 통신을 하기 때문에 Burp로는 데이터를 확인할 수가 없다.

이에 대하여 네이티브 앱을 확인할 수 있는 2가지 전략이 존재한다.

1. Burp Suite - NoPEModule
https://github.com/summitt/Nope-Proxy
(DNS 서버) ip주소를 도메인 형태로 만들어서 보내, DNS 서버 인 척을 하도록한다. -> (DNS 질의)

2. frida - 프리다 (모바일 앱 후킹을 쉽게 만들어 주는 동적 분석 툴!)
(모바일 앱 후킹)

위와 같이 Burp Suite에 모듈(Module)을 설치하는 방법이 있고, 프리다(frida)라는 모바일 앱 후킹을 위한 동적 분석 툴을 사용하는 방법이 있다. 일반적으로는 프리다를 사용한다고 한다.

(추후에 python을 이용한 간이 프록시 툴을 만들어 보도록하자.)

 

(앱) 단말기 취약점

메모리(저장공간)을 살펴보는 작업을 진행한다. 이용자 정보가 단말기에 저장되는지 샅샅이 찾는 것이다.

컴퓨터 OS - linux, windows, mac
스마트폰 OS - Android, iOS

스마트폰의 OS의 경우 Linux 기반으로 만들어졌기 때문에 linux 명령어를 그대로 사용할 수 있다.

 

adb

adb는 모바일의 쉘에 들어가는 툴(Tool)이다. 연결된 경우 adb shell을 입력하면 된다.

녹스와 같은 에뮬레이터인 경우의 접근 방법은 다음과 같다.

adb connect 127.0.0.1:(애뮬레이터의 포트)

 

환경 세팅

녹스와 같은 에뮬레이터로 어느정도의 대처는 가능하지만, 설치 혹은 실행이 제대로 되지 않는 앱들도 있을 수 있다. 그러므로 제대로 하기 위해서는 실제 기기가 있어야한다.

> iPhone - ios 버젼 중요. (최신 버전의 경우 탈옥이 불가능 할 수 있다.)
탈옥이 나올때 까지 기다려야 함. (즉, 최신버전이 아닌 기종을 사야한다.)

> 안드로이드 / ALL (기종 버전 상관 X)
-> 안드로이드의 경우 녹스와 같은 애뮬레이터를 이용하여 어느정도 가능하다.

위에서 말했듯이 메모리(저장공간)에서 이용자 정보가 단말기에 저장되는지 샅샅이 찾는 것을 목표로 하기 때문에 핸드폰의 터미널에 들어갈 수 있어야한다. 그러므로 터미널에 접속하기 위해 root 권한을 획득한 상태여야 한다.

Android - 루팅

iOS - 탈옥(= 운영체제의 취약점을 찾아서 이용)
> 탈옥 프로그램 이용.

즉, 애플의 iPhone의 경우 탈옥이 필요하고, 안드로이드 폰의 경우 루팅이 필요하다는 것이다.

그런데 위에서 정리하였듯이 안드로이드의 경우 기종, 안드로이드 버전에 상관이 없지만, iPhone의 경우 최신버전에서는 탈옥이 불가능한 경우가 있어 최신버전이 아닌 기종을 사야한다는 것이다.

 

iPhone App

iPhone의 경우 워낙 자체적으로 특이한 구조이기 때문에 윈도우에서는 다음과 같은 불편함이 있을 수 있다.

iPhone App
Mac 에서는 debugger를 직접 붙일 수 있다.
하지만 좀 불편할 뿐 Windows로 가능 (프리다 이용)

불편함일 뿐이지 불가능 한것이 아니다. (프리다 만만세..이다.)

 

Android App

- Tools
jadx-gui
-> 디컴파일러(decompile) - java 기반 / kotlin- 코틀린(java 기반)
https://github.com/skylot/jadx

compile
프로그래밍 언어 -> binary

Android App의 경우 Java기반으로 코드가 짜여져 있다. 그러므로 jadx-gui를 이용한 디컴파일링이 필요하다.

 

Mobile App

JAVA

Java는 멀티 플랫폼 언어로서 마법의 언어이다. 

(Burp Suite도 Java로 만들어져 있다.)

JAVA -> class (java byte code) -> JVM (java가 만든 assembly 파일)

위의 구조가 Java의 구조인데, 모바일 버전의 경우 class를 사용하지 않는다.

JAVA -> dex (안드로이드(Android) 에서의 실행파일)
(smali : android assembly)

(c언어와 다르게) 역으로 원상 복구가 가능하다. 소스코드를 볼 수 있다는 것이다.

 

모바일 애플리케이션

안드로이드의 설치파일은 APK인데 압축파일과 같은 것으로 복호화가 필요하다. JADX를 이용하면 자동으로 복호화가 가능하다.

애플리케이션의 설치

adb 이용 -> adb install (insecureshop.apk)

 

단말기 모의해킹

Android 리버싱

Android App의 경우 Activity라는 것이 존재한다. JAVA의 class와 같은 것이라고 생각하면 되는데 Activity 는 하나의 화면으로 화면별로 Activity가 존재한다.

안드로이드 메니페스트 AndroidManifest.xml는 App의 식별자이다.

android.intent.action.MAIN은 가장 먼저 실행되는 Activity이다.

JAVA  코드에서 주목해야 할 코드는 onCreate 이다.

 

프리다(Frida)

프리다는 DBI (Dynamic Binary Instrumentation)로서 DBI는 printf("test %s",buf); 등과 같이 특정 시점에서의 변수값 등을 확인하거나 프로그램의 행위를 조사하는 일을 수행한다. 바이너리 분석을 할 때 각종 모니터일 툴들을 켜고 악성코드를 실행하여 행위를 분석하거나 런타임 코드에 후킹하여 데이터를 조사 또는 변경하는 방법으로 분석한다.

함수후킹을 통해 어떤 코드가 실행되는 때에 중간에 훅을 달아 놓으면 그 부분의 값을 보고, 변조할 수 있다.

> [fridaLab]
https://rossmarks.uk/blog/fridalab/
https://github.com/DERE-ad2001/Frida-Labs

 

모바일 앱 개발

웹 해킹을 하려면 웹 개발을 해봐야 하듯이, Mobile App 개발을 해봐야 모바일 앱 해킹을 하는데 도움이 된다는 것이다.

Android : Java
iOS : Swift

모바일 앱 개발에서 해야하는 것은 웹 개발과 거의 똑같다. 커뮤니티를 만들어보면되는데, 추가적으로 자동로그인을 구현해보면 좋다고한다.

 

모바일 앱 해킹 실습

DIVA란 애플리케이션(Application, App)에 대해 취약점 진단을 실습할 수 있는 환경을 제공하는 앱이다.

- Mobile App
> DIVA Android
https://github.com/0xArab/diva-apk-file
> DIVA iOS
https://github.com/prateek147/DVIA-v2

안드로이드는 디컴파일러 프로그램이 있는데 iOS는 없다.

 IPA - binary / ghidra - 어셈블리어 | 대략의 C 언어 코드로 변환

---

질문 환영, 수정 및 보완에 대한 지적 환영