세가지 질문이 있습니다.
금융권의 앱의 보안 기술종류?
앱간의 데이터 후킹이 가능한것인지?,
local에 저장되는 중요 데이터의 관리?
첫째로, 안드로이드는 보안이 취약 하다고 하는데 과연 금융권 앱은 어떻게처리를 하는지 궁금하게 되어 질문을 남기게 되었습니다.
금융권 앱이 검증 하는 것들은 어떤 방법이 있을까요?
rooting 된 폰 검사
SSL 통신
코드 난독기 적용..
백신 프로그램 선 실행.
뭐 생각나는건 이정도인데요..보안과 관련된 다른 팁은 무엇이 있을까요?
둘째로 안드로이드는 sandbox형태로 앱이 실행된다고 하여 다른 앱에 펴미선을 얻지 못하면 접근이 안된다고 하는데
다른 앱의 동작하는 API들을 후킹하는 그런 앱은 존재 할수가 없는건가요?
다른 앱의 API나 메모리를 후킹하는 것이 가능 하다면 SSL통신같은걸 해도 네트웍 레이어 이전에 메모리 상태에서 데이터를 가로채면 말짱 꽝일텐데요....
.
마지막으로 local에 보관하는 중요한 데이터가 있다면 당연히 고정키를 사용하지 않겠죠?
클라이언트 앱에서 중요데이터를 보관한다는게 말이 안되는것같기도 하지만 뭐 자동로그인 모듈같은것은 클라이언트에 패스워드가 고정키로 암호화 되어 저장이 될것같습니다. 근데..byte code decoder로 돌리면 고정키는 바로 노출이 될것같은데 이렇게 단순하게 처리를 하지는 않았을텐데 어떤 트릭을 부리는지 궁금하네요.
질문을 적다 보니 너무 다양한 내용을 두서 없이 적었네요..
안드로이드의 문제라기 보다는 클라이언트 개발에 익숙치 않아서 생각의 정리가 안되는것 같습니다. ㅠㅠ
위에 적으신대로
rooting 된 폰 검사
SSL 통신
코드 난독기 적용..
백신 프로그램 선 실행.
이건 제가 담당하고 있는 앱에도 적용되어있는 사항입니다.
그 외에 로컬에는 서버랑 통신하면서 이 사용자가 누구인지 알 수 있는 구분키 말고는 저장 안합니다.
실시간으로 그때그때 받고 저장은 안합니다.
백그라운드로 가서 메모리에서 데이터 날아가면 savainstane도 아무것도 안들었으니 앱을 재실행 시키죠
다른 앱의 api들을 후킹하는 것은 루팅 안한 폰에서 단순한 앱 상에서는 불가능하다고 알고 있습니다.
메모리에 값을 저장 할 때에도 서버에서 키를 받아서 가공해서 넣고 키를 버리고
필요하면 서버에서 키받고 버리고 해서 메모리를 까도 아무것도 못얻습죠
대충 이런 식으로 씁니다.