Android Open Market Place 보안이슈

SK 플래닛Client SW Dev.최정필 (jungpil.choi@sk.com)

Good News(1/2)• More Apps, More Downloads

• More Revenue– Android Market 매출 800% 향상

(2010/2009)

Good News(2/2)• Tstore– 1400 만 사용자–월 100 억 거래–누적 거래 1 천억–일 다운로드 100 만건–게임매출 : 75~80%

• Samsung/Pantech/Nstore…

Bad News!(1/2)• 낮은 구매율– Apple App Store 에 비해 낮은 유료 사용자• 29% 유료앱 구매경험 ( 국내 , android)

–높은 부분유료화 (IAB)

Bad News!(2/2)• More Problems–무단복제 (Copy Right)–권한도용 (Payment Issues)–Malicious Code

• Send SMS • Collect IMEI numbers

Why Android?(1/3)• Open Source/Open Market– Open : ‘mkdir android ; cd android ; repo init -

u git://android.git.kernel.org/platform/mani-fest.git ; repo sync ; make’

– Rooting: 시스템의 모든 권한을 갖는다• One Click Rooting

– Custom ROM• 온라인뱅킹이 지원될 정도로 대중화 -_-;• 폰의 모든 정보를 믿을수 없다

– IP/MDN/IMEI/MAC

Why Android?(2/3)• Java– Bytecode: easy to understand– Cost(disassembly) >> Cost(decompile)–전통적인 자바의 특징• Mocha(1996)

– For android• dex2jar : dex jar java (JD-GUI)• smali/baksmali: dex smali dex

Why Android?(3/3)• Android System itself– Dalvik VM executes dex files– Odex File: optimized dex file

Dalvik Virtual Ma-chine

(JIT Compiler)

dex file

Storageodex file

(reuse)

decompile hijacking

OMPs ARM• Application Rights Management– Google: LVL(License Verification Library)– Amazon: DRM

OMPs ARM• Bypass-attack

OMPs ARM

In-app Billing• Items could be

faked by Bytecode Modification– Apple: IAP Cracker

Secure

Preview제거Item 획득Level Up

How To Defense?• Use Obfuscator• Use Native Code• Use Your own item server• Sorry, Find your own solutions!– 2011 Google I/O Evading Pirates and Stopping

Vampires using License Verification Library, In-App Billing, and App Engine

– 2012.4 Code Obfuscation for the Amazon In-App 

Conclusion• Current Android OMPs are not secure• Developer should handle it by him/her-

self• OMPs will do efforts– TStore will be enhanced soon!– Google?

• 비즈니스 인사이더는 구글이 구글 플레이 결제방식을 개선하는 것을 검토 중이라고 전했다 . … 결제방식 개선은 전체 안드로이드 생태계를 책임지는 전략이 될 것으로 보인다 . 구체적인 방법은 알려지지 않았지만…