모바일 앱 보안은 계속해서 핫 버튼 주제입니다. 많은 개발자들이 해커의 변화하는 전술에 발 맞추기 위해 끊임없이 노력하고 있으며, 공격으로부터 앱을 강화하려는 임무는 지금처럼 도전 적이거나 중요하지는 않습니다. 실제로 많은 앱 개발자는 어디서부터 시작해야할지 모르기 때문에 보안이 최고 수준이라는 것을 확신하는 것이 중요합니다.

개방형 웹 응용 프로그램 보안 프로젝트 (OWASP)

이 국제 조직의 사명은 "조직이 신뢰할 수있는 응용 프로그램을 고안, 개발, 획득, 운영 및 유지 관리 할 수 있도록 지원"하는 것입니다. 따라서 보안은 그 범위 내에서 확고하게 자리 잡고 있으며 OWASP는 응용 프로그램 보안에서 가장 존경받는 목소리 중 하나입니다. , 문서 및 업계 내외부의 지속적인 개선을 위해 수없이 많은 장소를 제공합니다. OWASP이 수행하는 가장 영향력있는 방법 중 하나는 연례 모바일 탑 10 (Mobile Top 10)입니다.이 목록은 가장 위험한 응용 프로그램 보안 취약점을 설명합니다. 이 목록은 다른 OWASP 자원과 함께 자연스럽게 모바일 공간 내의 개발자 및 다른 사람들에게 핵심 표준이되어야합니다. 조직은 효과적이고 광범위한 방법으로 보안에 접근하여 모든 각도에서 다루고 솔루션 기반의 문제 해결 태도를 적극적으로 발전시킵니다.

국가 정보 보증 파트너십

모바일 보안만큼이나 필수적인 임무가있는 상태에서 평가를 위해 몇 가지 공통 기준을 마련해야합니다. 조직이 NIAP Common Criteria Evaluation and Validation Scheme (CCEVS) 검증 기관을 관리함으로써 미국의 정보 기술 보안 평가를위한 공통 기준을 구현함에 따라 NIAP이 제공됩니다.

이 국가 프로그램은 보호 기준, 평가 방법론 및 기타 정책을 개발하여 신뢰성있는 테스트 요구 사항을 작성하는 데 도움이되며, 이러한 테스트 요구 사항은 Common Criteria Testing Laboratories에서 분석됩니다. 협업 시스템을 통해 NIAP는 NATO 및 국제 표준 단체와 협력하여 Common Criteria를 공유하고 중복성을 방지하여 진행 가능성을 극대화합니다. 이 과정에서 NIAP은 혁신적인 방법을 개발하여 응용 프로그램이 보안 관점에서 어디에 서 있는지 명확하게 파악하고 해커 및 기타 악의적 인 사용자로부터 앱과 중요한 데이터를 보호하는 솔루션을 개발합니다.

표준 제정

앱의 보안에 약간의 어려움이 있었다고하더라도, 게임을 한 단계 업그레이드하고 그 공간에서 최신 정보를 읽을 수 있습니다. 위의 보안 표준은 앱에 최신 위험 및 취약성을 신속하게 적용하기위한 초기 지침을 제공 할 수 있으며 사용자가 기대하는 프리미엄 환경을 언제든지 제공 할 준비가 될 것입니다.

보안과 마찬가지로 민감한 문제를 논의하는 것이 결코 쉬운 일이 아니라는 것을 알고 있습니다. 모바일 응용 프로그램이 사이버 공격에 쉽게 빠질 수 있다는 사실은 절대로 안심할 수있는 계시입니다. 그러나 자신을 교육하고 앱과 사용자를 보호하기 위해 필요한 조치를 취함으로써 해커가 앞으로 나아갈 수 있도록 필요한 조치를 취할 수 있습니다. 자신이나 사용자가 침해당하는 것을 방지하기 위해 열심히 노력해서는 안됩니다. 그들은 당신을 믿고 있습니다.

우리는 매일 그것들을 사용하지만, 모바일 애플리케이션이 우리 삶에서 퍼져 나가는 역할에도 불구하고 우리는 자주이 기술에 대한 신뢰를 의심없이 제공합니다. 음, 캔디 크러시를 돌리거나 스마트 폰이나 모바일 장치에서 Facebook 페이지를 확인하는 것이 얼마나 편리하든 관계없이 사용자가 이러한 장치를 사용하는 모든 작업이 잠재적으로 해커의 공격을 기다리고있을 수 있습니다. 바로 달릴 순간. 모바일 기술이 발전함에 따라 해커가 민감한 사용자 데이터와 많은 경우에 앱 자체를 성공적으로 악용 할 수있는 수단도 있습니다. 그러나 우리가 처분 할 수있는 도구를 사용하면 해커가 사용하는 가장 일반적인 전술을 방어 할 수있는 앱을 설치해서는 안되는 이유가 거의 없습니다.

이제 개발자들은 모바일 애플리케이션 보안이 고객의 안전을 보호 할 수있을뿐만 아니라 시장에서 앱을 출시하는 특별한 업적을 보호 할 수있는 귀중한 방법을 인식해야합니다. 모바일 공간은 최근 몇 년 동안 경쟁이 치열 해졌지만 해커 및 기타 악의적 인 사용자를 막을 수있는 적절한 보안 조치가 없으면 앱의 전체 존재가 손상 될 수 있습니다. 어쨌든 건전한 보안 계획의 필요성을 더욱 강화시키는 몇 가지 놀라운 트렌드가 나타나기 시작했습니다. 백로드는 앱을 크게 손상시킬 수있는 현상 중 하나입니다.

백로딩의 이야기

백로딩이란?

모든 것이 자체적으로 위협이되었지만 실제로는 앱 불법 복제와 관련된 또 다른 잘 알려진 개념 인 사이드 로딩 (sideloading)에서 파생되었습니다. 사이드로드는 주류 외부의 대체 소스를 통해 모바일 앱을 설치하는 모든 방법에 기인하는 포괄적 인 용어입니다. 예를 들어, Apple App Store와 Google Play는 아마도 가장 많이 사용하는 앱 일 것입니다. 특히 대중화에 도움이되는 업계에서의 지배력이 커지면서 이러한 공식 앱 스토어는 여기에서 논의하는 앱 스토어가 아닙니다. 오히려 더 의심스러운 타사 앱 스토어가 자격을 얻을 수 있습니다.이 경우 평판이 좋지 않은 대안에 대한 액세스 권한을 얻기 위해 앱을 다운로드하는 사용자가 사이드로드에 참여할 가능성이 큽니다.

최근 몇 몇 소비자들은 인기있는 iOS 및 Android 앱의 무료 해적판 버전을 추적하여 이러한 대안을 선택했습니다. 그러나 이러한 추세는 이들을 취약성의 세계로 개방했을뿐입니다. 물론, 유료 IOS 앱의 불법 복제 버전은 사용자가 원하는 모든 것으로 보일 수 있지만 가짜 IOS 앱 스토어에서 쇼핑 할 때 항상 지불해야하는 가격이 있습니다. 이 용어는 사용자가 불법, 불법 복제 또는 불법적 인 앱을 다운로드하기 위해 스마트 폰을 처음 탈옥 할 필요없이 다운로드 할 수 있도록하는 사이드로드 (sideloading)를 의미하기 때문에 역기전이 발생합니다.  실제로 백로드를 철저히 이해하려면이 전략의 맨 처음부터 시작해야합니다. 백 로딩이 시작된 방법을 알아 보겠습니다.

백로딩의 탄생

이후 전세계적인 관심사가되었지만 처음으로 알려진 백로 드 인스턴스는 채널을 통해 악의적 인 작업을 수행하는 방식으로 인해 2013 년 중국의 인기있는 해적 사이트 7659.com으로 거슬러 올라갑니다. 전국의 여러 사이트와 마찬가지로이 사이트는 다양한 제한이 있으며,이 특별한 경우에는 사이트가 중국 IP 주소에만 액세스 할 수 있으므로 Apple 자체가 개입하기가 더 어려워지는 효과적인 방법입니다.

당연히 해커들은 관련된 각 해적판 앱에 관심있는 소비자가 앱을 사용할 수있게 해주는 엔터프라이즈 인증서를 통해 서명했습니다. 중국인 사용자에게 자신의 앱에 대한 테스트 기능을 제공하는 모습을 보인이 사이트와 그 뒤에있는 사람들은 중국 사람들에게 지역없는 앱을 제공하는 데 관심이 있다고 주장하는 동안 비즈니스 모델의 어두운 부분을 전문적으로 덮었습니다 .

몇 달 후 관심있는 소비자가 온라인 지침을 사용할 수있게되었고, 불법 복제 된 자료를 다운로드 할 수 있도록 특별히 설계된 소프트웨어가 곧 주류를 이루게되었습니다. 불법 복제는 몇 달 동안 폭발하여 초기 중국의 추세가 곧 전 세계로 퍼졌습니다. 현재 직면하고있는 악성 앱 스토어의 토대는 쉽게 드러났으며 오늘날에는 그러한 사이트의 사용자 기반이 1 천만 이상으로 추산됩니다. 물론, 그 성장은 하룻밤 사이에 발생하지 않았습니다. 다음으로, 우리는 현재의 피크로 다시로드하는 중간 단계를 조사 할 것입니다.

수년에 걸친 백 로딩

백도어가 모바일 응용 프로그램 공간에서 널리 보급 된 이후 불과 몇 년이 지났지 만 분명히 많은 변화가있었습니다. 실제로, 해커들은 백도어 전술 개발에 앞서 애플보다 한 발 앞서 머물러 나가는 데 점점 더 능숙 해졌다. 아마도 무리의 리더는 vShare 일 것입니다. 이 사이트는 애플의 자체 기업 인증 시스템을 이용한다. 이는 해적판 애플리케이션 제작에서 7659.com에서 직접적으로 해제 된 것이다. 일반적으로이 프로세스는 세 가지 형식 중 하나를 취합니다.

- 유령 회사를 만드는 해커 : 때로는 발견되지 않는 가장 쉬운 방법은 해커가 새로운 가짜 회사를 "생성"하여 기존 엔티티에 대한 의심이나 연결을 피하는 것입니다.

- 해커들이 실제 회사를 가장합니다. 다른 인기있는 옵션은 기존 회사를 가장하는 것입니다.하지만 이는 가치가있는 것보다 더 큰 문제 일 수 있습니다. 리버스 엔지니어링은 악의적 인 사용자가 다른 앱의 디자인 및 따라서 성공을 재현 할 수있게 해주므로 편리합니다.

- 해커가 기존 인증서를 훔칩니다. 마지막으로 일부 해커는 대상 앱의 암호를 해독하고 해독하여 인증서를 훔치기 만하면됩니다. 이렇게하면, 그들의 거짓 속성이 종종 너무 늦게 발견되어 진정한 목적을 더욱 효과적으로 위장 할 수 있습니다.

백로드의 진화를 향한 또 다른 진전은 타사 애플 앱 스토어 인 동부가 등장했을 때 발생했습니다. 자체 보조 소프트웨어로 완성 된 동부 (Tongbu)는 악성 앱 스토어의 또 다른 예이지만 동일한 소프트웨어의 불량 버전에도 해당 앱에 대한 합법적 인 업데이트를 제공합니다. 이로 인해 합법적 인 상대자를 효과적으로 사칭하는 데 한 걸음 더 가까워졌습니다. iTong을 통해 소비자는 Apple의 설정과 일치 할 수있는 해적판 시스템에 액세스 할 수 있습니다.

2016 년에는 승인되지 않은 앱 스토어가 가장 큰 해를 보냈습니다. 다음은 가장 인기있는 목록입니다.

• WireLurker
• AppCake
• iFUNBOX
• YiSpecter
• HipStore
• KuaiYoung
• Youmi
• AppAddict

스마트폰 앱, 모바일 앱 자체가 해킹이나 크랙을 당할수있을까? 대답은 Yes 입니다. 앱 개발자라면 이미 알고있는 사실이지만, 디컴파일이나 리버스 엔지니어링을 통해서 개발자가 만든 앱을 마음대로 수정 및 복제, 혹은 광고 제거등등을 할수 있습니다. 많은 시간을 투자해서 혹은 기발한 아이디어로 앱(어플리케이션)을 개발 하였는데, 이런일을 당한다면 매우 화가나고 답답할 것입니다. 그리고 이미 잘 알려진 사실이기도 합니다.

디컴파일 및 리버스 엔지니어링을 통해 모바일 앱의 취약점이 노출된다면 악용될 수 있습니다. 아래의 내용을 보면 각각 디컴파일, 리버스엔지니어링, 메모리해킹, 어뷰징 행위등에 대해서 어떤 일들이 일어나는지 정리가 되어져있습니다. 

이미지 자료출처 : https://appsolid.co

위와 같은 일들이 일어나지 않게 하려면, APPSOLID (무료사용 가능) 으로 아주 간단하게 앱을 프로텍트 하면 위 이미지와 같은 공격으로 부터 최대한 피해받지 않도록 안전해질수 있습니다. 이 세상에 완벽한 보안이란 없습니다. 어제까지의 신기술이 오늘은 과거의 보안기술이 될수있습니다. 하지만 매일매일 최고의 보안 전문가들이 24/7 대응하며 앱솔리드 사용자의 앱을 보호하고 있기 때문에 빠른 대응이 가능한 앱솔리드를 추천하고 싶습니다. 

바이너리 레벨의 난독화 및 암호화는 최고 수준의 보안을 제공합니다. AppSolid는 앱 개발 완료 이후에 적용되므로 별도의 코드나 SDK 적용 과정은 필요 없습니다. 모든 중요한 파일 타입들을 보호합니다. DEXNative Library(.SO)Unity 3D (.DLL) 등

앱이 얼마나 안전한지 무료로 진단(Scan)을 할수있고, 무료로 앱 보호도 적용할수 있습니다. 또한 관리자 패널을 통하여 앱의 사용량이나 해킹 혹은 위변조등의 시도 및 탐지 내역등을 상세히 알수가 있습니다.  앱솔리드는 이 분야 최고의 전문가들이 만든 서비스이며, 일반적인 개발자들이 만든 수준의 서비스와는 분명히 다릅니다. 

보안 서비스는 보안 전문가들이 잘합니다. 소프트웨어 엔지니어분들은 개발에만 집중하십시요. 이 분야 최고의 보안팀만의 스페셜한 서비스를 누릴수 있습니다. 소프트뱅크, 퀄컴 그리고 삼성으로 부터 기술력을 인정받고 모바일 앱 보안 분의 최고 실력자들로 구성된 APPSOLID를 경험해보시기 바랍니다.  지금 바로 적용 해보기는 아래 Start now를 클릭하세요!

스마트폰 앱, 모바일 앱 자체가 해킹이나 크랙을 당할수있을까? 대답은 Yes 입니다. 앱 개발자라면 이미 알고있는 사실이지만, 디컴파일이나 리버스 엔지니어링을 통해서 개발자가 만든 앱을 마음대로 수정 및 복제, 혹은 광고 제거등등을 할수 있습니다. 많은 시간을 투자해서 혹은 기발한 아이디어로 앱(어플리케이션)을 개발 하였는데, 이런일을 당한다면 매우 화가나고 답답할 것입니다. 그리고 이미 잘 알려진 사실이기도 합니다.

더 자세한 설명 및 100% 풀기능 무료 사용해보기 -> https://www.appsolid.co/account/signup

디컴파일 및 리버스 엔지니어링을 통해 모바일 앱의 취약점이 노출된다면 악용될 수 있습니다. 아래의 내용을 보면 각각 디컴파일, 리버스엔지니어링, 메모리해킹, 어뷰징 행위등에 대해서 어떤 일들이 일어나는지 정리가 되어져있습니다. 

이미지 자료출처 : https://appsolid.co

위와 같은 일들이 일어나지 않게 하려면, APPSOLID (무료사용 가능) 으로 아주 간단하게 앱을 프로텍트 하면 위 이미지와 같은 공격으로 부터 최대한 피해받지 않도록 안전해질수 있습니다. 이 세상에 완벽한 보안이란 없습니다. 어제까지의 신기술이 오늘은 과거의 보안기술이 될수있습니다. 하지만 매일매일 최고의 보안 전문가들이 24/7 대응하며 앱솔리드 사용자의 앱을 보호하고 있기 때문에 빠른 대응이 가능한 앱솔리드를 추천하고 싶습니다. 

바이너리 레벨의 난독화 및 암호화는 최고 수준의 보안을 제공합니다. AppSolid는 앱 개발 완료 이후에 적용되므로 별도의 코드나 SDK 적용 과정은 필요 없습니다. 모든 중요한 파일 타입들을 보호합니다. DEXNative Library(.SO)Unity 3D (.DLL) 등

앱이 얼마나 안전한지 무료로 진단(Scan)을 할수있고, 무료로 앱 보호도 적용할수 있습니다. 또한 관리자 패널을 통하여 앱의 사용량이나 해킹 혹은 위변조등의 시도 및 탐지 내역등을 상세히 알수가 있습니다.  앱솔리드는 이 분야 최고의 전문가들이 만든 서비스이며, 일반적인 개발자들이 만든 수준의 서비스와는 분명히 다릅니다. 

보안 서비스는 보안 전문가들이 잘합니다. 소프트웨어 엔지니어분들은 개발에만 집중하십시요. 이 분야 최고의 보안팀만의 스페셜한 서비스를 누릴수 있습니다. 소프트뱅크, 퀄컴 그리고 삼성으로 부터 기술력을 인정받고 모바일 앱 보안 분의 최고 실력자들로 구성된 APPSOLID를 경험해보시기 바랍니다. 

앱솔리드 (APPSOLID) 6주 풀기능 100% 무료로 사용하기 -> https://www.appsolid.co/account/signup

미국 샌프란시스코에 위치한 SEWORKS 에서 출시하는 모바일  앱 보안 서비스인 앱솔리드가 출시 되었습니다.

https://appsolid.co   <--- 현재 모든 기능을 무료로 사용 테스트가 가능합니다.

앱 개발자 혹은 앱을 서비스하고 있는 기업/스타트업 이라면 앱 보안을 위해서 사용해보세요. 개발사는 개발에 집중하시고 앱 보안은

전문 서비스를 이용하시면 좋겠습니다. 

에스이웍스에서 자체 분석한 연구 결과로 Top 200 Free App 중에 84.5%가 디컴파일이 가능하였고, 

95.2%의 Native Library 가 리버스 엔지니어링이 가능하였습니다. 또한 Top 100 Free Game에서 

89%가 디컴파일이 가능하였고 96.4%의 앱이 Native Library가 리버스 엔지니어링으로 인한 

해킹이 가능하였습니다.

에스이웍스 리서치 자료 관련 기사로 연구 결과 더 자세히 열람하기  [바로클릭]

빠르고 쉽다, 손도 안간다. 걱정끝.

Appsolid (앱솔리드) 는 SaaS 방식으로 앱 난독화 암호화를 비롯하여 강력한 보안으로 앱 해킹으로 부터 

보호받을수 있습니다.

마음의 평화를 드립니다. 이 제품이 출시가 되면 관련하여 또 소개와 무료 체험을 해볼수 있도록 안내하겠습니다.

https://appsolid.co

사이트 주소는 위... 링크 클릭!!

강력한 안드로이드 난독화 서비스를 소개합니다.

수정) 메두사, 앱시큐어에 이어서 신규 제품 2016 -> 앱솔리드 appsolid.co

No Code ! No SDK ! Simple !

SaaS 형태로 웹사이트에 배포하기전 앱을 업로드하면 자동으로 보안작업이 되며, 바로 다운로드하여 배포하면

되는 아주 쉽고 간단한 작업만으로 앱을 안전하게 보호할수 있는 서비스 입니다.

수많은 초딩들이 당신의 앱을 공격하고 있고, 문서를 복사하듯 쉽게 앱도 복사가 가능합니다.

앱을 안전하게 보호하려면 MEDUSAH를 꼭 적용하시는 것을 추천합니다.

게임같이 실제로 런칭전엔 서비스를 할지 말지 고민이 되는 서비스들은 프로모션 기간에는 무료로 서비스를 한다고 합니다.

사이트는 https://appsolid.co

sales@seworks.co 으로 이메일 주시면 될것같습니다.

맥북에어에 부트캠프가 날아가서 급히 윈도우 설치는 해야하는데 DVD도 없고 해서 USB로 설치를 하려고 하다보니

이런 툴이 있었음..

Windows7-USB-DVD-tool (1).exe

위 툴 다운로드

윈도우 iso 파일 이미지를 선택하고 제작할 USB(4기가이상)을 꼽고, 다음 다음을 눌러서 부팅가능한 USB로

만들어서 사용하면 편리하게 클릭 몇번 만으로 만들수가 있음.

이때, 맥OS의 부트캠프에서 윈도우 지원 파일들 다운로드 후 윈도우 설치 별도로 설치를 해야 그래픽 카드 및 사운드도 다 잡히니 참고들하시구요,

** 만약 부팅USB가 인식이 안되면 refit 을 이용해주시면 인식이 가능합니다.

http://refit.sourceforge.net/

설치 후 재부팅 2회 후 윈도우 USB 선택하심됨.

윈도우 8에서 윈도우 7 처럼 화면 캡쳐하는 프로그램이 딱히 아이콘이 어디있는지 찾을수가 없다.

이럴땐 그냥 바로 실행

윈도우키 + R을 누르고

열기 옆에 다가 snippingtool 이라고 입력 후 엔터를 치면

우리가 잘 알고있는 화면 캡쳐 프로그램이 뜬다.

구글 PLAY 스토어 (구글마켓)에서 

"스미싱가드" 검색해서 다운로드 하세요 100% 무료 어플 입니다.

위 이미지를 클릭하시면 네이버 모바일 앱 소개 페이지로 넘어 갑니다. 네이버에도 등록이 되었내요~

스미싱 가드에 대한 "디지털 데일리"에 소개 된 내용을 참고해주세요

[뉴스에 보도된 자료들 참고] <---- 클릭

[자료출처 : 디지털데일리 , 이민형 기자님 기사]

[PLAY Apps]스미싱 막는 방법없을까…에스이웍스 ‘스미싱가드’

[디지털데일리 이민형기자] 연일 스미싱(Smishing)에 대한 지면을 장식하고 있다.

‘애플리케이션을 설치만 했을 뿐인데 30만원의 소액결제 피해가 발생했다’, ‘문자가 와서 클릭만 했는데 소액결제로 돈이 빠져나갔다’ 등 피해를 호소하는 사례가 늘고 있다.

이에 정부와 이동통신사도 스미싱 피해 방지를 위한 대책마련에 나서고 있다. 하지만 피해는 좀처럼 줄지않고 있다. 

기자도 얼마전 GS홈쇼핑을 가장한 스미싱 공격을 받은 적이 있다. 6만8000원의 결제내역이 발생했는데 확인하려면 앱을 설치하라고 했다. 해당 앱을 설치하니 중국발 IP에서 앱 패키지 파일(.apk)을 내려받았고, 해당 앱은 국내 PG사인 ‘다날(danal.apk)‘를 사칭하고 있었다.

해당 앱의 권한을 살펴보니 의심되는 권한설정이 너무나 많았다. 특히 주목됐던 권한은 ‘문자 메시지 받기(SMS)’와 ‘SMS 메시지 보내기(비용이 부과될 수 있습니다)’ 부분이었다.

설치시 사용자의 스마트폰에 인증문자를 전송하고, 이를 중간에 가로채 해커에게 재전송하는 기능이란 것을 쉽게 눈치챌 수 있었다.

안드로이드 시스템에 대한 이해도가 낮은 사용자라면 분명 이를 설치했으리라. 문자를 받았을 때의 당혹감이 금전적인 피해로 이어진다. 스피어 피싱과 같은 사회공학적 해킹 기법을 사용했기 때문이다.

모바일 보안 전문업체인 에스이웍스(대표 홍민표)는 스미싱을 차단할 수 있는 ‘스미싱가드’ 앱을 출시했다.

스미싱가드는 단순하면서도 직관적인 사용자인터페이스(UI)를 가지고 있다. 첫화면에 ‘스미싱 해킹 실시간 탐지’와 ‘URL 탐지’ 기능이 자리하고 있다. 두번째 탭에는 지금까지 방어한 스미싱 공격에 대한 기록을 확인할 수 있다.