Android 12 단말에 Burp CA 인증서 등록하기 (Magisk 모듈 방식)

1. 개요안드로이드 앱 모의해킹에서 HTTPS 트래픽 분석은 기본 중의 기본이다. Burp Suite를 프록시로 구성하고 단말의 네트워크 트래픽을 가로채기 위해서는 Burp의 CA 인증서를 단말이 신뢰하도록 등록해야 한다.Android 7(Nougat) 이후부터 앱은 기본적으로 사용자가 직접 설치한 인증서(User CA)를 신뢰하지 않는다. 네트워크 보안 설정(network_security_config)으로 명시적으로 허용하지 않는 한, 사용자 인증서로는 HTTPS 트래픽 복호화가 불가능하다. 따라서 인증서를 시스템 인증서(System CA) 로 등록해야 한다.Android 12 + Magisk 루팅 환경에서 시스템 인증서 등록을 시도했고, 흔히 알려진 tmpfs 마운트 방식이 동작하지 않아 Magisk..

  • format_list_bulleted Security/└ 안드로이드 취약점 진단
  • · 2026. 2. 24.
  • textsms
[Frida android] 17.6.0 계측 구조 변경 - ptrace에서 proc/mem 기반으로

[Frida android] 17.6.0 계측 구조 변경 - ptrace에서 proc/mem 기반으로

1. 개요Frida 17.6.0(2026.01.18)부터 Android 동적 분석의 핵심 메커니즘이 근본적으로 변경되었다. 기존 ptrace/child-gating 기반 Zygote 주입 방식에서 /proc/$pid/mem 기반의 경량 외부 패칭(Zymbiote) 방식으로 전환되었다. 이후 17.6.1~17.6.2, 17.7.0~17.7.3 까지 빠른 연속 릴리즈로 안정화 작업이 진행 중이다.앱 취약점 진단에서 Frida는 사실상 필수 도구이다. 이번 변경은 내부 동작 방식의 전면 교체이므로, ptrace 기반 탐지 우회나 Magisk 충돌 등 기존에 겪던 문제들의 원인과 해결 여부가 달라진다. 변경사항을 정리한다. 2. 기존 방식: ptrace + child-gating 기반 Zygote 주입2.1 Z..

  • format_list_bulleted Security/└ 안드로이드 취약점 진단
  • · 2026. 2. 20.
  • textsms

React RCE 취약점 CVE-2025-55182 및 CVE-2025-66478 분석

1. 취약점 개요 React 19 버전대에 심각한 원격 코드 실행(RCE) 취약점 두 가지가 발견되어 CVE-2025-55182 (React)와 CVE-2025-66478 (Next.js)로 공표되었습니다. 두 취약점 모두 React의 서버 컴포넌트(RSC) 기능에서 사용하는 “Flight” 프로토콜의 역직렬화 처리 로직의 결함이 원인이다. 공격자는 특수하게 조작된 HTTP 요청만으로 인증 없이도 서버 측에서 임의의 자바스크립트 코드를 실행할 수 있습니다. 특히 Next.js 프레임워크(앱 라우터 사용 시)는 React의 해당 취약점을 그대로 내포하고 있어 CVE-2025-66478로 식별되었으며, 기본 설정의 Next.js 애플리케이션도 별도 코드 수정 없이 공격에 노출될 수 있다고 합니다. CVE..

  • format_list_bulleted Security/WEB
  • · 2025. 12. 5.
  • textsms

Flutter HTTPS 통신 Intercept 위한 로직 분석

1. 연구 배경1.1 서론Flutter 애플리케이션의 네트워크 통신을 분석하고 디버깅하기 위해서는 HTTPS 트래픽을 intercept할 수 있어야 한다. 하지만 일반적으로 사용했던 Burp CA 시스템 경로 로드 방식으로 intercept가 동작하지 않는다. 이 포스팅에서는 Flutter로 개발된 앱에서 HTTPS 통신을 가로채는 방법과 그 원리를 심층 분석한다.1.2 연구 동기개발/디버깅 필요성: API 통신 내용 확인, 에러 디버깅테스트 환경 구축: Mock 서버 연동, 네트워크 시나리오 테스트보안 분석: 앱의 보안 취약점 점검, 데이터 전송 검증역공학/분석: 기존 앱의 통신 프로토콜 분석1.3 Flutter HTTPS 통신의 특징Flutter는 모바일 애플리케이션을 진단할 때 일반적인 네이티브 앱..

  • format_list_bulleted Security/└ 안드로이드 취약점 진단
  • · 2025. 10. 24.
  • textsms

[JADX-AI-MCP] jadx 와 MCP 연동하여 APK 분석하기

개요AI의 발전은 빠르게 이루어지고 있다. 안드로이드 정적 분석에 활용할 수 있는 MCP를 소개한다. 블로그에서 MCP를 직접 다룬 적은 없지만, AI가 다양한 외부 리소스(API, 데이터베이스, 플러그인 등)와 대화하는 언어 정도로 정리하고 넘어간다. 수천개의 MCP들이 개발되고 배포되고 있다. 프로토콜 표준은 정해졌지만 아직 공식 배포채널이 없어 많은 개발자들이 도구를 필요에 의해 개발하고 있다.JADX 디컴파일러와 연동하여 사용할 수 있는 MCP이다.https://github.com/zinja-coder/jadx-ai-mcp GitHub - zinja-coder/jadx-ai-mcp: Plugin for JADX to integrate MCP serverPlugin for JADX to integr..

  • format_list_bulleted Security/└ 안드로이드 취약점 진단
  • · 2025. 9. 29.
  • textsms

[Androidmeda] LLM Powered Deobfuscation for Android Apps

들어가며 안드로이드 앱 분석과 리버싱은 많은 시간과 노력을 필요로 한다. 여기에 코드 난독화까지 적용되면 분석 난이도는 기하급수적으로 높아진다. 난독화된 코드를 읽는 일은 마치 매번 새로운 외국어를 배우는 것처럼 느껴진다. 실제로 금융앱이나 악성앱에는 ProGuard, DexGuard 등 난독화 솔루션이 적용되어 클래스/함수 이름을 알아보기 어렵게 바꾸고 분석을 방해한다.최근 이러한 문제를 해결하기 위한 새로운 접근법으로 LLM을 이용한 코드 해독 도구들이 등장하고 있다. 이번 포스팅에서는 그 중에서도 주목할 만한 성능을 보여주는 Androidmeda라는 오픈 소스 도구를 소개한다. 이 도구가 어느 정도까지 난독화를 해제할 수 있는지, 그리고 LLM 연동 분석을 위해 어떤 준비가 필요한지 살펴본다. A..

  • format_list_bulleted Security/└ 안드로이드 취약점 진단
  • · 2025. 9. 10.
  • textsms