2011.06.20 10:14

안드로이드 앱을 통한 로그인 세션 가로채기 (Session Hijacking)

동일 네트워크(공유기)에 연결된 PC 및 스마트폰에서 접속한 로그인 세션을 가로채어 별도 로그인 없이
불특정 사용자의 개인정보 및 대부분의 권한을 가지게 됩니다.

ARP Spoofing 공격으로 세션 가로채기 (Session Hijacking) 를 안드로이드 스마트폰에서 간편하게
누구나 손쉽게 가능한 앱이 등장했습니다.

스마트폰에서 사용되는 SNS 등 대부분 사이트는 세션을 통해 로그인을 유지하고 있어 세션만 가로채면
로그인 사용자의 동일한 권한을 가지게 됩니다.

초반에 트위터와 페이스북이 HTTP 통신을 사용하여 손쉽게 가능한 것이 확인되었는데..
당시에는 스마트폰으로 직접하기는 좀 어려움이 있었는데 앱으로 손쉽게 가능합니다.

트위터와 페이스북 같이 HTTPS 보안 통신 옵션을 제공하는 사이트의 경우
반드시 HTTPS 보안 통신을 선택하여 보다 안전한 사용을 권장합니다.
하지만 아직 많은 사이트가 HTTP 통신을 하고 있어 우려가 되며 이는 PC도 마찬가지입니다.
동일 네트워크(공유기)를 사용하는 경우 PC에서 사용되는 로그인 정보도 가로채기가 가능합니다.

FaceNiff - Session Hijacker for Android


사용 가능 스마트폰 단말기 :

HTC Desire - CM7/MIUI/LeeDroid3

Original Droid/Milestone - CM7

SE Xperia X10

Samsung Galaxy S - Stock/Darky/CM7

Samsung Galaxy S2 - KE7

Samsung Galaxy 3 - Stock

Samsung Galaxy Tab - Stock

Samsung Galaxy Mini - Stock

Nexus 1 - CM7

HTC Desire HD - CM7 Nightly

LG Swift 2X

Optimus Black - Stock

LG Optimus 3D - Stock

LG Optimus 2x - MODACO

Samsung Infuse

Droid X - Stock

Motorola Atrix - OLYEM 2.1.1

HTC Hero GSM - CM7/FroydVillain 1.7/Villian 13/Villain 1.7.1

Droid Incredible

Huawei Ascend M860 - Icarus 1.1

HTC Evo - Evo Deck

Sprint Evo - Warm 2.2 

Metro PCS

Nexus S - CM7

Droid 2 - ZombieStomped/Liberty2

Moto Xoom - Stock

G1 - CM6

ZTE v9 tablet - alphasxMOD-2.2.1

HTC Droid Eris - GSB v3.5

HTC Aria - CM7

Archos 32 - Stock

HTC ThunderBolt - Stock


알약 공지사항 : http://alyac.altools.co.kr/SecurityCenter/Analysis/NoticeView.aspx?id=99

Trackback 1 Comment 0