융합보안논문지 (Convergence Security Journal)

  • 제15권7호
  • /
  • Pages.9-19
  • /
  • 2015
  • /
  • 1598-7329(pISSN)
  • /
  • 2508-7460(eISSN)
한국융합보안학회 (Korea convergence Security Association)
권호 표지

안드로이드 스마트폰에서 웹사이트 핑거프린팅을 통한 피싱 공격

A Phishing Attack using Website Fingerprinting on Android Smartphones

  • 안우현 (광운대학교 컴퓨터소프트웨어학과) ;
  • 오윤석 (광운대학교 컴퓨터소프트웨어학과) ;
  • 표상진 (광운대학교 컴퓨터소프트웨어학과) ;
  • 김태순 (광운대학교 컴퓨터소프트웨어학과) ;
  • 임승호 (한국외국어대학교 컴퓨터전자시스템공학부) ;
  • 오재원 (가톨릭대학교 컴퓨터정보공학부)
  • 투고 : 2015.11.28
  • 심사 : 2015.12.18
  • 발행 : 2015.12.30
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

안드로이드 운영체제는 웹페이지에서 사용자가 입력하는 보안 정보를 가로채는 피싱 공격에 노출되어 있다. 본 논문은 피싱 공격을 가능하게 하는, 두 가지 보안 취약점을 발견하였다. 첫째, always-on-top 기법은 공격 앱이 최상위 화면 위에 투명한 UI를 배치하여 사용자의 입력을 가로챌 수 있게 한다. 둘째, 공격 앱이 웹 브라우저가 현재 방문 중인 웹페이지의 정보를 안드로이드 API를 통해 접근할 수 있다. 본 논문은 이 취약점을 이용하여 웹페이지를 공격하는 기법을 제안한다. 이 기법은 보안 관련 웹페이지 방문을 탐지하고, 이 웹페이지에 입력하는 정보를 탈취한다. 인기 있는 웹사이트를 대상으로 한 실험을 통해 제안된 기법의 정확도와 공격 위험성을 확인하였다.

The Android operating system is exposed to a phishing attack of stealing private information that a user enters into a web page. We have discovered two security vulnerabilities of the phishing attack. First, an always-on-top scheme allows malware to place a transparent user interface (UI) on the current top screen and intercept a user input. Second, the Android provides some APIs that allow malware to obtain the information of a currently visited web page. This paper introduces a phishing that attacks a web page by exploiting the two vulnerabilities. The attack detects a visit to a security-relevant web page and steals private information from the web page. Our experiments on popular web sites reveal that the attack is significantly accurate and dangerous.

키워드

참고문헌

  1. A. Hintz, "Fingerprinting websites using traffic analysis", Proceedings of the 2nd international conference on Privacy enhancing technologies, 2002.
  2. M. Liberatore and B. Levine, "Inferring the source of encrypted HTTP connections", Proceedings of the 13th ACM Conference on Computer and Communications Security, 2006.
  3. A. Panchenko, L. Niessen, A. Zinnen, and T. Engel, "Website fingerprinting in onion routing based anonymization networks", Proceedings of the 10th ACM Workshop on Privacy in the Electronic Society, 2011.
  4. T. Wang, X. Cai, R. Nitbyanand, and I. Goldberg, "Effective attacks and provable defenses for website fingerprinting", Proceedings of the USENIX Security Symposium, 2014.
  5. X. Gu, M. Yang, and J. Luo, "A novel website fingerprinting attack against multi-tab browsing behavior", Proceedings of 19th IEEE International Conference on Computer Supported Cooper ative Work in Design, 2015.
  6. S. Jana and V. Shmatikov, "Memento: learning secrets from process footprints", Proceedings of IEEE Symposium on Security and Privacy, 2012.
  7. A. P. Felt and D. Wagner, "Phishing on mobile devices", Proceedings of the IEEE Web 2.0 Security and Privacy Workshop(W2SP), 2011.
  8. R. Meier, "Professional android application development", CreateSpace Independent Publishing Platform, 2014.
  9. Q. A. Chen, Z. Qian, and Z. M. Mao, "Peeking into your app without actually seeing it: UI state inference and novel Android attacks", Proceedings of the USENIX Security Symposium, 2014.
  10. R. Prodduturi and D. B. Phatak, "Effective handling of low memory scenarios in Android using logs", Indian Institute of Technology, 2013.
  11. 닐슨 코리아클릭, http://www.koreanclick.com/information/freedata_rankings.php
  12. Android developers, http://developer.android.com/reference/android/view/accessibility/AccessibilityEvent.html.