PowerPoint 프레젠테이션

Similar documents
PowerPoint 프레젠테이션

PowerPoint 프레젠테이션

SBR-100S User Manual

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

Contents I. 취약점점검소개 II. III. IV. 점검프로세스분석 취약점점검방법 기타

PowerPoint 프레젠테이션

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

서현수

HTML5* Web Development to the next level HTML5 ~= HTML + CSS + JS API

H3250_Wi-Fi_E.book

Æí¶÷4-¼Ö·ç¼Çc03ÖÁ¾š

160322_ADOP 상품 소개서_1.0

untitled


** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

PowerPoint 프레젠테이션

2002 KT

PowerPoint 프레젠테이션

BuzzAd Optimizer Proposal for partner 1

PowerPoint 프레젠테이션


02_3 지리산권 스마트폰 기반 3D 지도서비스_과업지시서.hwp

슬라이드 1

Secure Programming Lecture1 : Introduction

I What is Syrup Store? 1. Syrup Store 2. Syrup Store Component 3.

52 l /08

만약, 업그레이드 도중 실패하게 되면, 배터리를 뺏다 다시 꼽으신 후 전원을 켜면, 안내문구가 나오게 됩니다. 그 상태로 PC 연결 후 업그레이드를 다시 실행하시면 됩니다. 3) 단말을 재부팅합니다. - 리부팅 후에 단말에서 업그레이드를 진행합니다. 업그레이드 과정 중

경제관련 주요 법률 제,개정의 쟁점 분석.doc

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]

untitled

2018_11_06 Nubo 소개자료

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

Ⅸ. 이해관계자와의 거래내용 X. 그 밖에 투자자 보호를 위하여 필요한 사항 전문가의 확인 전문가의 확인 전문가와의 이해관계...264

[Brochure] KOR_TunA

5th-KOR-SANGFOR NGAF(CC)

Microsoft PowerPoint - 김창수 v2.pptx

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

00인터넷지07+08-웹용.indd

IP IP ICT

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

K-IFRS,. 2013, , 2, 3,.,.. 2

PowerPoint 프레젠테이션

brochure1_JPG

ȸº¸115È£

<4D F736F F D20C1A4BAB8C5EBBDC5C1F8C8EFC7F9C8B8BFF8B0ED5FBDBAB8B6C6AEBDC3B4EBBAF22E727466>

메뉴얼41페이지-2

AGENDA 모바일 산업의 환경변화 모바일 클라우드 서비스의 등장 모바일 클라우드 서비스 융합사례

모바일 App 개발시프라이버시보호수칙 Provided by NAVER 출처를밝히시는경우, 누구라도본가이드라인을자유롭게사용하실 1수있습니다.

행당중학교 감사 7급 ~ 성동구 왕십리로 189-2호선 한양대역 4번출구에서 도보로 3-4분 6721 윤중중학교 감사 7급 ~ 영등포구 여의동로 3길3 용강중학교 일반행정 9급 ~ 1300

<4D F736F F D205B4354BDC9C3FEB8AEC6F7C6AE5D3131C8A35FC5ACB6F3BFECB5E520C4C4C7BBC6C320B1E2BCFA20B5BFC7E2>

Observational Determinism for Concurrent Program Security

Special Theme _ 모바일웹과 스마트폰 본 고에서는 모바일웹에서의 단말 API인 W3C DAP (Device API and Policy) 의 표준 개발 현황에 대해서 살펴보고 관 련하여 개발 중인 사례를 통하여 이해를 돕고자 한다. 2. 웹 애플리케이션과 네이


취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

歯MW-1000AP_Manual_Kor_HJS.PDF

holiday webinar 2013 _ Korean webinar order.pptx

ㅇㅇㅇ

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

[ 나이스평가정보 ( 주 ) 귀중 ] 나이스평가정보 ( 주 )( 이하 회사 ) 는 SK텔레콤 ( 주 ) 의업무를대행하여휴대폰본인확인서비스를제공함에있어고객으로부터개인정보를수집하고이용하기위해 정보통신망이용촉진및정보보호에관한법률 에따라서다음과같이본인의동의를받습니다. 1. 개

처음에 읽어 주십시오! 본 사용설명서의 내용은 예고 없이 변경할 수 있습니다. 본 사용설명서의 내용은 제조 공정의 각 과정에서 확인했습니다. 문제점이나 잘못된 점 이 있으면 개의치 마시고 당사로 연락해 주십시오. 본 사용설명서의 내용을 복제하는 것은 일부 또는 전부에

오늘날의 기업들은 24시간 365일 멈추지 않고 돌아간다. 그리고 이러한 기업들을 위해서 업무와 관련 된 중요한 문서들은 언제 어디서라도 항상 접근하여 활용이 가능해야 한다. 끊임없이 변화하는 기업들 의 경쟁 속에서 기업내의 중요 문서의 효율적인 관리와 활용 방안은 이

ICT03_UX Guide DIP 1605

슬라이드 1

Droid-XG

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

스마트폰 도입에 따른 국내 통신시장 환경의 변화 음성중심에서 데이터 중심으로 변화하고 있으며 데이 터 매출 비중도 08년 20.2% 13년 24.7%로 꾸준히 증 가할 전망이다. 또한, 데이터 활성화로 스마트폰 콘텐츠 장터(앱스토 어) 시장도 크게 성장할 것으로 예상된

Ç¥Áö

PowerPoint Presentation

Special Theme _ 스마트폰 정보보호 스마트폰은 기존 PC에서 가지고 있던 위협과 모바일 기기의 위협을 모두 포함하고 있다. 다시 말하면, 다양 한 기능이 추가된 만큼 기존 PC에서 나타났던 많은 위 협들이 그대로 상속되며, 신규 서비스 부가로 인해 신 규 위

Microsoft PowerPoint - CoolMessenger_제안서_라이트_200508


KIDI_W_BRIEF(제1호)_본문.hwp

제 출 문 환경부장관 귀하 본 보고서를 습마트기기 활용 환경지킴이 및 교육 통합 서비스 개 발 과제의 최종보고서로 제출합니다. 주관연구기관 : 주관연구기관장 : 2015년 10월 주식회사 덕키즈 김 형 준 (주관)연구책임자 : 문종욱 (주관)참여연구원 : 김형준, 문병

Windows Live Hotmail Custom Domains Korea

SKT - 0.0% SKT 9, % 7, % 2, % 3, % 13, % 11,273 15,970

양정규 라온시큐리티

마켓온_제품소개서_ key

SBR-100S User Manual

미디어 및 엔터테인먼트 업계를 위한 Adobe Experience Manager Mobile

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< FC1A6BEC8BFE4C3BBBCAD2E687770>

Office 365 사용자 가이드

04 08 Industry Insight Mobile Policy Trend Mobile Focus Global Trend In-Depth Future Trend Products Trend Hot Company

<4D F736F F F696E74202D20332DC1F6B9DDC1A4BAB8BDC3BDBAC5DB>

[Blank Page] i

(Microsoft PowerPoint - AndroG3\306\367\306\303\(ICB\).pptx)

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

NFC 서비스 활성화 추진계획 기존 모바일 결제시장 Ecosystem 향후 모바일 결제시장 Ecosystem App Store App사업자의 중요성 증대 통신사 APP. 사업자 금융기관 (카드) APP. 사업자 VAN 휴대폰 제조사 정부 및 규제기관 OS Provide

보안공학연구회

TTA Journal No.157_서체변경.indd

1 전통 소프트웨어 가. ERP 시장 ERP 업계, 클라우드 기반 서비스로 새로운 활력 모색 - SAP-LGCNS : SAP HANA 클라우드(SAP HEC)를 통해 국내 사례 확보 및 아태 지역 진 출 추진 - 영림원 : 아시아 클라우드 ERP 시장 공략 추진 - 더

1_cover

CLICK, FOCUS <표 1> 스마트TV와 기존TV의 구분 및 비교 구분 전통TV 케이블TV/IPTV 인터넷TV/웹TV 스마트TV 전달방식 방송전파 케이블/인터넷망 인터넷망 인터넷망 양방향 서비스 없음 부분적으로 있음 있음 있음 콘텐츠 지상파 방송사가 확보한 콘텐츠

Install stm32cubemx and st-link utility

2016년 제35차 통신심의소위원회 회의록(심의의결서,공개,비공개).hwp

<4D F736F F F696E74202D205B444D435D36BFF95FB5F0C1F6C5D0B9CCB5F0BEEE20B5BFC7E220BAB8B0EDBCAD5F C5EBC7D5BABB29>

OUR INSIGHT. YOUR FUTURE. Disclaimer Presentation ( ),. Presentation,..,,,,, (E).,,., Presentation,., Representative.( ). ( ).

Transcription:

ZyroidiOS ZyroidiOS ios Application Analyzer 라온시큐리티

Table of contents I. 회사소개 Ⅱ. Zyroid ios 소개 1. 일반현황및사업분야 4 1. 개발배경 7 2. 특장점 5 2. Zyroid ios 란? 8 3. Zyroid ios 특장점 9 4. 제품구성 10 5. 기능구성도 11 6. 산업군별적용대상 12 Ⅲ. Zyroid ios 상세기능 Ⅳ. 취약점점검항목 1. 편리한원격입력 14 1. 점검항목리스트 21 2. 실시간데이터분석및조작 15 3. 편리한자동점검 16 4. 컴플라이언스 17 5. 악성앱점검기능 18 6. 사용자입력자동화 19

I. 회사소개 1. 일반현황및사업분야 2. 특장점

1. 일반현황및사업분야 I. 회사소개 라온시큐리티는해킹기법연구를통해획득한기술을바탕으로보안솔루션개발및모의해킹컨설팅서비스를제공하고있는보안솔루션개발및컨설팅회사입니다. [ 일반정보 ] [ 사업분야및주요성과 ] 회사명주식회사라온시큐리티 대표이사양정규 솔루션 Android Application 점검도구 (Zyroid SE/DE) - SKT, SKP, KB손해보험, CJ올리브네트웍스납품 Android 악성행위모니터링시스템 (Zyroid Enterprise) - 삼성전자, KT 납품 KISA Android 악성행위모니터링시스템개발 사업분야모의해킹보안제품연구 / 개발 주소 서울시금천구가산동 543-1 대성 D-POLIS B 동 1108 호 연락처 02-861-9890 010-4177-1156 회사설립 년도 해당부문 사업기간 2012 년 3 월 14 일 2012 년 3 월 ~ 현재 컨설팅 SK Planet 모의해킹 삼성전자갤럭시S4 모의해킹 (2회수행, NDA체결 ) 온라인게임모의해킹 ( 다수 ) EBAY( 옥션, 지마켓 ) 모의해킹 LG U+ Fuzzing 대검찰청모의해킹 카카오앱모의해킹 삼성SDS 화이트해커해킹대회문제출제및운영 KISA 해킹방어대회문제출제및운영 (2006년 3회 ~ 2013년 10회 ) 총 8번운영 연구 Google Android 취약점발견 (2013) Android 악성행위모니터링시스템구축 - Hooking 기법연구 iphone Hooking 기법연구 - Kernel Hooking, Library Hooking, Application Hooking 기법연구 Page 4

2. 특장점 I. 회사소개 라온시큐리티는기술과고객과의신뢰를최우선으로생각하며운영하고있는회사입니다. 기존의많은모의 해킹수행이력과연구성과, 해킹대회입상경력등최고의기술력을확보하기위해최선을다하고있습니다. 다수의모의해킹수행경험보유 다수모의해킹수행인력보유 일반 / 금융 / 기관등다양한환경에서모의해킹수행 웹 / 데이터베이스 / 단말등다양한대상에대한모의해킹수행 세계해킹대회입상경력자보유 KISA 해킹방어대회 8년연속출제 / 운영 세계최고수준의 DEFCON 본선진출 4위 국내에서주최한국제해킹대회우승 최신해킹기법보유 금융권메모리해킹최초발견및보유 Mobile 해킹기법보유 APT 공격해킹기법보유 취약점 Exploit 제작기술보유 Mobile Zero Day 보유 ( 구글에보고 / 버그채택 ) 보안솔루션개발기술보유 웹애플리케이션취약점점검솔루션개발기술보유 Smart Phone Monitoring 시스템개발 모의해킹시필요도구개발기술보유 다양한개발언어숙련 Page 5

II. Zyroid ios 소개 1. 개발배경 2. Zyroid ios란? 3. Zyroid ios 특장점 4. 제품구성 5. 기능구성도 6. 산업군별적용대상

1. 개발배경 II. Zyroid ios 소개 모바일환경에서의해킹기술은진화하고있으나인적 ( 전문가 ), 물적자원의부족으로인한대응능력의한계와 다양한보안요구사항의수용능력의제한등은점검기준및절차의표준화가요구되고있으며 Zyroid ios 는기술적, 관리적 ( 컴플라이언스 ) 측면에서향상된보안점검을수행합니다. 보안이슈 점검이슈 해결책 모바일환경의해킹기법진화 난독화기술적용으로인한분석의어려움 난독화코드분석후신규위협 Pattern 도출 모바일앱증가 앱점검을위한전문인력부족 수동 / 자동화통한취약점점검효율화 취약점을이용한개인정보유출 취약점을이용한개인정보유출 분화된진단모듈을통한취약점상세점검 모바일앱보안에대한인식부족 앱점검항목표준체계미비 점검항목표준화를통한점검결과표준화 Page 7

2. Zyroid ios 란? II. Zyroid ios 소개 쉬운사용자입력 스마트폰과 PC 동기화후키보드와마우스로스마트폰조작 컴플라이언스충족 개인정보보호법정보통신망법전자거래기본법등 실시간데이타분석 점검자 PC 에서 APP 패킷의실시간분석및조작 수준높은점검환경 정밀분석을위한다양한정보제공시스템이판단하기힘든항목점검가능 편리한자동점검 악성앱탐지가능 점검을위한기본정보입력후원클릭자동점검 행위기반판단을통해악성앱검증가능 Page 8

3. Zyroid ios 특장점 II. Zyroid ios 소개 실제단말기사용 ios 가상에뮬레이터가아닌실제단말기를사용 실제단말기로인증이필요한금융 APP 의동적분석지원 동적 Hooking 사용 ios Version 및단말기에독립적 ios 플랫폼소스및바이너리를수정없이분석가능 Proxy / Debugger 기능 호출되는 API 의입 / 출력값실시간분석 / 수정가능 진단 APP 의전반적인 API 호출흐름파악가능 표준화된점검가능 표준화된점검기준적용을통한분석결과의신뢰성향상 악성앱분석기능 사용자정보유출및권한상승등악의적인행동을하는 악성앱분석가능 Page 9

4. 제품구성 II. Zyroid ios 소개 제품의구성은점검용노트북, Zyroid ios, 아이폰, USB Cable 로구성되어있습니다. Page 10

5. 기능구성도 II. Zyroid ios 소개 Zyroid ios 의주요구성은정적코드분석과동적분석그리고두기능을합친자동분석기능을통해점검시간및점검수준을높일수있습니다. 통신 점검자 리버스분석 로우레벨데이터분석 자동진단 분석보고서 Zyroid ios 모니터링 모듈탑재 Page 11

6. 산업군별적용대상 II. Zyroid ios 소개 Zyroid ios 는대부분의산업분야에서개발되는 ios 기반앱을대상으로점검이가능합니다. 산업분야 금융 제조게임전자상거래 이동통신 건설 자동차 공공 법적요건충족 정보통신망이용촉진및정보보호등에관한법률 주요법률 위치정보의보호및이용등에관한법률 신용정보의이용및보호에관한법률 개인정보보호법 전자금융거래법 Page 12

III. Zyroid ios 상세기능 1. 편리한원격입력 2. 실시간데이터분석및조작 3. 편리한자동점검 4. 컴플라이언스 5. 악성앱점검지원 6. 사용자입력자동화제공 7. 편리하고수준높은점검환경제공

1. 편리한원격입력 III. Zyroid ios 상세기능 PC 와동기화후 PC 스크린상에서키보드와마우스로아이폰을조작가능 PC 의키보드와마우스로모든데이터를입력하여입력시간단축가능 점검자 PC 아이폰 입력방식 PC 와아이폰 Sync 키보드로데이터입력 실시간화면동기화 마우스로화면클릭 마우스로잠금해제 Page 14

2. 실시간데이터분석및조작 III. Zyroid ios 상세기능 Zyroid ios 를통해입력데이터를가로챈뒤실시간데이터조작이가능 통신구간의 SSL 사용여부와상관없이모든데이터의평문확인가능 점검자 PC 아이폰 서버 분석 실시간데이터조작 통신 Hybrid 앱 Native 앱 일반앱 모든데이터분석및조작 Page 15

3. 편리한자동점검 III. Zyroid ios 상세기능 기존의복잡한점검환경구성및분석업무가간단한정보입력만으로 ios 앱자동점검이가능하도록구현되어 있습니다. 기존점검자 Zyroid ios 점검자 점검환경 sign 루팅 DB Browser 코드분석 루팅우회 SDK Burp 실행분석 난독화분석우회 동적디버깅 패킷덤프파일덤프로그캣메모리덤프 OWASP 중요정보 Page 16

4. 컴플라이언스 III. Zyroid ios 상세기능 금융위금융안전대책이행체크리스트기준의표준화된점검가능 산업군 ( 공공, 금융, 통신, 제조등 ) 별보안요건을충족한점검가능 보안요건 ( 과제 ) 백신프로그램적용 입력정보보호대책적용 금융정보종단간암호화적용 폰임의개조탐지및차단 앱무결성검증 코드 ( 모듈 ) 보호 앱취약점 앱위. 변조모니터링 앱위. 변조로그기록 멀티로그인금지 금융거래기록정보보관 스마트폰에주요금융정보저장금지 컴플라이언스 정보통신망이용촉진및정보보호등에관한법률 ( 모든산업군 ) 위치정보의보호및이용등에관한법률 ( 이동통신사 ) 개인정보보호법 ( 개인정보의기술적. 관리적보호조치 ) 전자금융거래법 ( 스마트폰금융안전대책이행체크리스트 ) 법률요건충족 Page 17

5. 악성앱점검기능 III. Zyroid ios 상세기능 행위분석을통한악성앱점검지원 Zyroid ios 악성앱분석과정 분석가의판단과정 앱기능목록화 연락처권한 위치정보권한 SMS 정보권한 IMEI 권한 카메라권한 통화목록권한 디바이스어드민권한등 행위분석 연락처, 위치정보, SMS 정보, 단말정보 외부유출행위확인 사진정보, 인증서정보, SD 카드저장파일목록 파일수정및외부유출행위확인 디바이스어드민권한요청 악성앱탐지 앱고유기능확인 행위분석결과직접확인 판단 악성앱판단 Page 18

6. 사용자입력자동화 III. Zyroid ios 상세기능 동적분석에서사용자입력시퀀스를저장하여재사용 동일앱에대한분석에서단순반복작업을최소화 사용자입력 키보드로데이터입력 마우스로화면클릭 UI 출력변경탐지 Page 19

Ⅳ. 취약점점검항목 1. 점검항목리스트

1. 점검항목리스트 Ⅳ. 취약점점검항목 Zyroid ios 는취약점을 11 개로분류하여 42 개의취약점항목에대해점검이가능합니다. 취약점점검기준은 OWASP MOBILE TOP 10 과금융위의금융앱점검항목과더불어라온시큐리티의취약점점검노하우를통해점검항목을개발하였습니다. 순번분류점검항목 순번분류점검항목 1 중요정보노출 ( 앱, 설치파일, 화면, 로그등중요정보가저장되는모든곳점검 ) 12 개 7 취약한암호화방식사용 / 키노출 1 개 2 불필요한정보노출 ( 앱내불필요한정보및로그확인 ) 2 개 8 Server Side Injection (SQL injection 등 server 취약점 ) 2 개 3 악용가능성 ( 앱의도와다른악용가능여부확인 ) 2 개 9 서비스거부 1 개 4 악성코드및프로그램위 / 변조대응 ( 보안솔루션적용여부 ) 4 개 10 기타정보 ( 취약점분석을위한활용정보 ) 5 개 5 중요정보암호화통신미흡 (SSL 취약점및적용여부 ) 2 개 11 수동점검기능 ( 함수입력값조작 ) 1 개 6 권한상승 / 권한도용 ( 명령실행등권한상승가능취약점확인 ) 10 개 11 개취약점분류, 42 개점검항목 Page 21

고객의정보보호를위한최고의파트너가되겠습니다. ( 주 ) 라온시큐리티 [TEL] 02-861-9890 [FAX] 02-861-9891 [URL] http://www.raonsecurity.com 서울금천구가산동 543-1 대성 D-POLIS B 동 1108 호

2024 © docsplayer.org 개인정보보호 | 약관 | 지원