닥터킴의 연구소

안녕하세요! 이번에는 두 번째 KVE 발급 사례를 공유하려 합니다. 첫 번째 사례와 동일하게 앱에서 발견한 권한 기반 정보 접근 취약점으로 KVE를 발급받게 되었습니다. 보안상의 이유로 기업명은 비공개하며, 발견 과정을 공유해보겠습니다.[취약점 발견 과정]1. 사용자 프로필 시스템 분석첫 번째 취약점을 분석하던 중, 사용자 개인정보를 관리하는 프로필 관리 시스템에서 추가적인 보안 이슈를 발견했습니다.이 시스템은 계정 정보를 열람하고 관리할 수 있는 핵심 기능을 담당하고 있었습니다.2. GDA4.11을 이용한 심층 리버스 엔지니어링https://github.com/charles2gan/GDA-android-reversing-Tool GitHub - charles2gan/GDA-android-reversin..

안녕하세요! 최근 국내 주요 기업의 모바일 애플리케이션 보안 분석 중 심각도 높은 취약점을 발견하여 KVE-2025-02XX를 발급받게 되었습니다. 보안상의 이유로 기업명은 비공개하며, 발견 과정과 발급 절차를 공유해보겠습니다.[취약점 발견 과정]1. 초기 정찰 및 APK 디컴파일링GDA와 JADX를 이용한 디컴파일링을 통해 애플리케이션의 전체적인 아키텍처를 파악했습니다. Kotlin/Java 기반의 네이티브 Android 앱이었으며, 현대적인 안드로이드 개발 스택을 사용하고 있었습니다.2. 정적 분석을 통한 기술 스택 파악[디컴파일된 구조에서 확인된 주요 라이브러리] - Retrofit2 + OkHttp3 (RESTful API 통신) - Moshi (JSON 직렬화/역직렬화) - Glide (이미지 ..