안드로이드 구글 계정 앱의 개인정보 유출 취약점 분석
Analysis on Personal Information Leakage of Google Account App on Android
최종원(숭실대학교); 이정현(숭실대학교)
8권 2호, 65~82쪽
초록
안드로이드의 각종 앱은 크리덴셜을 스마트기기 내부에 저장한다. 이는 구글에서 안드로이드 스마트폰에 기본으로 탑재하는 시스템 앱인 구글 계정도 마찬가지이다. 구글 계정은 사용자에게 편의성을 보장하기 위하여 최초 실행시 단 한번 아이디와 패스워드를 이용한 사용자 인증을 거치고 그 이후에는 크리덴셜을 이용한 자동로그인 기능을 제공한다. 그런데 이 구글 계정의 크리덴셜은 포렌식 관점에서 매우 중요한 데이터이다. 크리덴셜을 획득할 수 있다면 구글에서 제공하는 다양한 서비스에 해당 크리덴셜의 계정으로 접근이 가능하다. 또 구글 계정 앱 이외에도 다양한 앱들이 개발의 편리성을 추구하고자 구글 API를 이용하여 구글 계정 앱의 크리덴셜을 사용한다는 것을 확인하였다. 다시 말해 수많은 앱들이 구글 계정 앱 크리덴셜을 통해 자동 로그인 된다는 것이다. 따라서, 본 논문에서는 구글 계정 앱의 크리덴셜 생성 및 관리 매커니즘을 분석하고, 해당 크리덴셜을 추출하여 다른 기기에 주입하여 자동로그인이 가능한 지를 통해 개인정보 유출 취약점을 살펴본다. 한편, 포렌식 관점에서 이러한 개인정보는 유의미한 디지털 증거자료가 될 수 있을 것으로 판단된다.
Abstract
Various Android apps store their own credentials inside the smart devices. As a system app, Google account also has same functionality built in Android Smartphone. For user authentication, it provides user ID and password to the server only when initially trying to log in. Then, the server generate the credential and the send it back to the app. Once the credential is generated, it becomes possible to automatically login using credential without user ID and password. From the forensic point of view, these credentials are very important data structure that should be carefully handled. It is because some malicious attackers are able to misuse if they are easily extractable. Since a variety of apps are run based on Google account, all private information maintained by each of apps are able to be subsequently leaked if automatic login using other victim's credential is possible. Therefore, in this paper, we analyze a creation and management mechanism of the credential of Google account app, and experiment if the exisitng credentials are extractable and then installable to other smart devices. On the other hand, these information may be various useful information as digital evidence.
- 발행기관:
- 한국디지털포렌식학회
- 분류:
- 컴퓨터학