모바일 애플리케이션 취약성과 관련하여 보안 전문가는 종종 제로데이 공격이나 민감한 데이터에 대한 액세스 시도를 생각합니다. 이는 매우 실제적인 위협이지만 리버스 엔지니어링 및 후킹과 같은 보다 미묘한 공격도 고려해야 합니다. 이러한 공격은 모바일 또는 클라이언트 측 보안에 대한 업계의 너무 협소한 이해를 이용하며, 이는 종종 장치 인프라로 확장되며 그 이상은 아닙니다.

인스타그램 2022년에 리버스 엔지니어링 모바일 앱으로 잘 알려진 개발자인 Alessandro Paluzzi가 인기 있는 BeReal 앱과 유사한 미출시 기능을 발견했을 때 어려운 방법으로 이를 발견했습니다. 모바일 앱의 코드에서 기능을 식별함으로써 Paluzzi는 장치 수준 보호에 방해받지 않았습니다.

모바일 앱은 많은 프로세스와 코드가 사용자의 장치에서 실행되어 분석 및 변조에 더 취약하기 때문에 고유한 보안 문제가 있습니다. 보안 전문가는 클라이언트 측 보안에 대한 이해를 넓혀 오늘날의 정교한 위협으로부터 모바일 앱을 보호해야 합니다.

손상된 모바일 앱의 영향

손상된 모바일 앱이 비즈니스에 부정적인 영향을 미칠 수 있는 방법에는 다음과 같은 여러 가지가 있습니다.

• 지적 재산 도난 및 경쟁 우위 상실
• 브랜드 및 소비자 신뢰 손상
• 타사 스토어에 업로드된 앱의 수정된 버전으로 인한 수익 손실
• 규정 위반에 대한 벌금

고려하다 펠로톤 로잉머신 제품 유출. 2021년에 9to5Google은 Android 앱에서 찾은 세부 정보를 기반으로 미출시 Peloton 로잉 머신을 확인했습니다. 이 유출은 Peleton의 앱 보안에 의문을 제기하는 등 계획된 마케팅 활동을 약화시켰을 가능성이 높으며 경쟁업체가 이를 시장에서 이길 수 있는 기회를 제공했습니다.

세 가지 클라이언트 측 보안 신화

안타깝게도 업계는 포괄적인 모바일 앱 보안을 방해하는 오해에 시달립니다. 우리가 흔히 볼 수 있는 세 가지입니다.

1. 모든 민감한 데이터가 보호됩니다.

신화: 모든 민감한 데이터는 서버 측에 보관되므로 암호화되고 보호될 것이라고 확신합니다. 사용자의 모바일 장치에 민감한 데이터를 저장하지 않기 때문에 추가 보호가 필요하지 않습니다.

대위법: 매우 적은 양의 민감한 데이터가 앱 사용자의 장치에 저장되는 경우가 종종 있지만 이것이 안전하다는 의미는 아닙니다. 애플리케이션이 실행 중인 경우 프로세스, 코드 및 서버와의 통신이 노출됩니다.

추가 보호 없이 공격자는 다음에 대한 정보를 얻을 수 있습니다.

• 앱이 서버와 통신하는 방법
• 암호화를 수행하는 위치
• 승인을 처리하는 방법
• 민감한 정보를 캡처하는 위치

2. 사용자 기반 위협은 내 통제 범위를 벗어납니다.

신화: 저는 앱 사용자의 장치나 사용 방법을 제어할 수 없으므로 맬웨어나 피싱 공격을 방지하기 위해 할 수 있는 일이 없습니다.

대위법: 맬웨어 공격으로부터 보호하지 못할 수도 있지만 다른 위협으로부터 앱을 보호할 수 있습니다. 코드와 문자열의 일부가 난독화되지 않은 상태로 남아 있거나 주석이 메타데이터로 코드에 남아 있는 경우 리버스 엔지니어링 및 후킹을 위한 출발점 역할을 합니다. 코드 내에 숨겨진 "비밀"에 대한 통찰력을 얻고 무단 노출, 지적 재산 도난, 브랜드 손상 등을 가능하게 하는 데 사용할 수 있습니다.

3. 운영 체제가 나를 보호합니다

신화: 운영 체제(OS)의 보안에 의존할 수 있도록 모바일 앱 내에서 사용되는 모든 구성 요소를 최신 상태로 유지함으로써 제 몫을 다했습니다.

대위법: OS의 주요 관심사는 모바일 앱의 보안이 아니라 장치 자체의 보안입니다. 예를 들어 시만텍 연구 비공개 AWS 클라우드 서비스에 대한 액세스를 허용하는 노출된 AWS 액세스 토큰이 있는 1,822개의 iOS 앱을 찾았습니다. iOS 보호 기능은 이 취약점을 표시하거나 보호하지 않습니다. 항상 앱이 적대적인 환경에서 실행되고 있다고 가정하고 그에 따라 준비하십시오.

클라이언트 측 보안을 개선하는 방법

귀하의 모바일 애플리케이션이 출시될 때까지 귀하의 회사는 목표 시장을 만족시키기 위해 흥미로운 새 기능을 개발하는 데 수많은 시간을 할애했습니다. 이 투자를 보호하려면 포괄적인 모바일 앱 보안 전략을 구현해야 합니다.

이 권장 사항을 사용하여 시작하십시오.

1. OWASP Mobile Application Security Verification Standard와 같은 보안 표준 및 프레임워크에 의존(매스브스) 및 모바일 애플리케이션 보안 테스트 가이드(마스트), 모바일 앱 보안 전략을 안내합니다.
2. 보안을 모든 단계에 통합 DevSecOps 수명 주기, 릴리스 직전의 마지막 단계로 만드는 대신.
3. 코드 강화 및 런타임 애플리케이션 자체 보호(RASP) 검사를 포함하는 강력한 앱 수준 보호 메커니즘을 구현합니다. 모든 솔루션이 동일하게 만들어지는 것은 아니므로 평가 중인 보호 솔루션이 필요한 수준의 보안을 제공하는지 확인하는 것이 중요합니다.
4. 우선 순위 보안 테스트 개발 프로세스 초기에 일반적인 취약점을 포착합니다. 이상적으로는 모바일 애플리케이션용으로 설계되고 OWASP 및 기타 산업 표준을 기반으로 하는 테스트 솔루션을 선택하십시오.
5. 지속적인 위협 모니터링을 사용하여 의심스러운 활동, 사기 또는 부정 행위를 식별하고 보안 전략을 지속적으로 개선하십시오.

다음 단계

보안 전문가는 클라이언트 측 모바일 앱 보안에 전화를 걸어야 합니다. 그렇지 않으면 악의적인 행위자가 애플리케이션 코드를 분석, 변조 및 리버스 엔지니어링할 위험이 있습니다.

보호, 테스트, 모니터링 프로세스 및 도구를 포함한 포괄적인 모바일 앱 보안 전략은 애플리케이션과 해당 코드를 검사하려는 위협 행위자 사이에 설 수 있는 유일한 것입니다.

모바일 앱 보안 전략의 기반을 강화하는 방법에 대한 자세한 내용은 다음을 확인하세요. 모바일 앱 Trifecta 수용.

저자에 관하여

Jija Bhattacharya는 회사의 DexGuard 및 iXGuard 모바일 애플리케이션 보호 제품을 담당하는 Guardsquare 제품 마케팅 팀의 구성원입니다. 그녀는 다양한 B2B 클라우드 기반 제품에 대한 개발자, 제품 소유자 및 제품 마케팅 관리자로서 다양한 직책을 맡아 다양한 산업에서 디지털 혁신을 주도하는 회사에서 일했습니다. Jija는 VTU India에서 전기 공학 학사 학위를, Vrije Universiteit Brussels에서 커뮤니케이션 석사 학위를 받았습니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 자동차 / EV, 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 차트프라임. ChartPrime으로 트레이딩 게임을 향상시키십시오. 여기에서 액세스하십시오.
• BlockOffsets. 환경 오프셋 소유권 현대화. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/application-security/3-mobile-or-client-side-security-myths-debunked