-
(2022) 중고거래 어플리케이션에서의 아티팩트 수집 및 분석Solar Beam 2023. 8. 26. 01:26
1. 소스
중고거래 어플리케이션에서의 아티팩트 수집 및 분석 | DBpia
이성현, 조민호, 손태식 | 디지털포렌식연구 | 2022.3
www.dbpia.co.kr
2. 정리
1. 중고거래 앱을 이용한 범죄가 나날이 증가하고 있어 중고거래 앱을 연구할 필요가 있다.
: 본 연구와 유사하게, 메세지 앱을 분석한 연구가 다음과 같이 확인된다.
: 위챗(2013), imo(2018), kik(2016), surespot(2019), facebook(2019), twitter(2014) etc.
2. 분석 대상 앱은 당근마켓, 번개장터, 중고나라이며 테스트 환경은 아래와 같다.
: (ios) iphone 12 pro / iOS 14.8.1
: (android) Galaxy s8 / android 9
: (data acquisition) iTunes, TWRP for dreamlte, Samsung Odin3, Magisk
: (data analysis) DB browser, HxD, plist viewer, MongoDB realm studio, Autopsy
3. 당근마켓, 번개장터, 중고나라 앱의 데이터는 모두 데이터 파티션의 앱 패키지 폴더 하위에 저장된다.
: (android) com.towneers.www / (iOS) com.towneer.www
: kr.co.quicket / net.quicket.app
: android 번개장터 패키지 명은 구글 플레이 스토어에서 위처럼 확인이 됨
: 논문에는 루팅된 안드로이드 폰으로 번개장터 실행 시 "보안 정책으로 앱이 종료" 됐다며, 분석 내용이 없음
: 먼저 번개장터 앱에 데이터를 쌓고, 이후 폰을 루팅해서 앱 데이터를 수집하면 되지 않았을까?
: com.elz.secondhandstore / com.jnapp.usedMarket
4. 앱 패키지 하위에 저장된 아티팩트를 분석하였고, 앱별로 차이가 있지만 대체로 사용자 정보, 최근 검색어, 마지막 사용 시간, 위치 정보, 최근 본 상품 정보, 마지막 채팅 정보, 거래 상대 정보 등 확인할 수 있다.
: *.xml in shared_pref, *.db in databases, cached images, *.plist, Cookies.binarycookies, *.json 등
: 앱별 주요 아티팩트를 i) app, ii) os, iii) file path, iv) file name, v) contents 로 구분하여 표로 표현
PS1) 논문 5장에서 가상 시나리오 1,2를 소개하고 분석 방안을 제안하였다. 이때 언급한 다음 문구에 관심이 갔지만 - "비록 중고거래 어플리케이션이 삭제될지라도 파일시스템 비할당 영역에 존재하는 데이터를 복구하여 사용 흔적을 파악할 수 있다." - 이를 입증하기 위한 테스트 결과를 찾아볼 수 없어서 아쉬웠다.
: Android의 FBE, iOS의 Data Protection
PS2) iOS Data protection?
: https://help.apple.com/pdf/security/en_US/apple-platform-security-guide.pdf
'Solar Beam' 카테고리의 다른 글
(sqlite) with WAL, without WAL (0) 2023.08.17 (iOS) 탈옥(jailbreak)의 개념 및 종류 (0) 2023.08.09 (2013) 스마트폰 내부 정보 추출 방법 (0) 2023.08.08 (2017) 안드로이드 기반 스마트폰 비휘발성 시스템 로그에 대한 분석 (0) 2023.08.07 (2017) iOS 로그 분석 및 포렌식 활용방안 연구 (0) 2023.08.03