Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Andoid ux, secure

344 views

Published on

  • Be the first to comment

  • Be the first to like this

Andoid ux, secure

  1. 1. AndroidUX, Secure LETS BURN UP BUGS! ZININWORKS JUNG KYUNG-HO
  2. 2. Syncscore
  3. 3. KpopChannel
  4. 4. ANDROID UI? UX? 2.X
  5. 5. ANDROID UI? UX?Honeycomb 3.0 Holo!
  6. 6. CORE APP QUALITY GUIDELINEShttp://developer.android.com/distribute/googleplay/quality/core.html
  7. 7. CORE APP QUALITY GUIDELINES• VISUAL DESIGN AND USER INTERACTION• FUNCTIONALITY• PERFORMANCE AND STABILITY• GOOGLE PLAY
  8. 8. VISUAL DESIGN AND USER INTERACTION• RELATED RESOURCES: • ANDROID DESIGN — OVERVIEW OF DESIGN AND USER EXPERIENCE BEST PRACTICES FOR ANDROID APPS. • NAVIGATION WITH BACK AND UP — ANDROID DESIGN DOCUMENT DESCRIBING STANDARD NAVIGATION PATTERNS. • ACTION BAR — ANDROID DESIGN DOCUMENT DESCRIBING HOW TO USE THE ACTION BAR. • ICONOGRAPHY — ANDROID DESIGN DESCRIBING HOW TO USE VARIOUS TYPES OF ICONS. • NOTIFICATIONS — ANDROID DESIGN DOCUMENT DESCRIBING HOW TO DESIGN AND USE NOTIFICATIONS.
  9. 9. NAVIGATION WITH BACK AND UP http://developer.android.com/design/patterns/navigation.html
  10. 10. ACTION BAR Gmail Fancy List Navigation Style Popup Menu
  11. 11. TAB BAR KpopChannel Google Play Fixed Tabs Scrollable Tabs
  12. 12. ACTION BAR사용할 수 없다!Actionbar 3.0(API Level 11) 이후 부터 사용 가능
  13. 13. ACTION BAR2013/03/05 53.9%!
  14. 14. ACTIONBAR SHERLOCK
  15. 15. ACTIONBAR SHERLOCK• ANDROID 2.1.X (API 7) 이상• NATIVE ACTIONBAR 구현과 동일한 API• (NATIVE로 구현 후 포팅이 쉽다!)• API LEVEL 11 이상에서는 NATIVE구현이 사용됨.
  16. 16. JAKE WHARTON안드로이드계의 신! 영원한 아이돌!이분을 빼놓고 안드로이드를 이야기할 수 없다!Jake 형님!
  17. 17. ANDROID BOOTSTRAP• FRAGMENTS, FRAGMENT PAGER, ACCOUNT MANAGER, ANDROID-MAVEN- PLUGIN, ROBOGUICE 2, ACTIONBARSHERLOCK 4, VIEWPAGERINDICATOR, HTTP- REQUEST, GSON, ROBOTIUM FOR INTEGRATION TESTING, API CONSUMPTION WITH AN API ON PARSE.COM 등을 다 사용하는 기본 골격앱! http://www.androidbootstrap.com/
  18. 18. SECURE• SECURE 의 기본 SANDBOX • SANDBOX란 어플리케이션이 자신의 영역을 넘어 다른 영역을 침입해 시스템을 부정하게 이용하는 것을 막는 보안 형태
  19. 19. SANDBOX• IOS, ANDROID • HTTP://PRIVACY-PC.COM/NEWS/IOS-AND-ANDROID-SECURITY-COMPARISON.HTML• AND FINALLY THE SANDBOXING. THEY BOTH HAVE SANDBOX MODELS, THEY ARE DIFFERENT: IN IOS ONE, THERE’S ONE SANDBOX FOR ALL THE APPS IN THE APP STORE. THEY ALL HAVE THE SAME SANDBOX. ON THE ANDROID SIDE, THEY HAVE THE CUSTOM SANDBOXES WHERE EACH APP HAS TO ASK WHAT PERMISSION IT NEEDS AND YOU HAVE TO APPROVE THAT, AND SO THERE YOU GET SANDBOXES THAT ARE A LOT TIGHTER BECAUSE IT’S PER APP.
  20. 20. SANDBOX• IOS SANDBOX 매우 제한적, APPLE 엔지니어들이 직접 선택• ANDROID 매우 자유롭다, 권한을 유저에게 직접 묻는다.
  21. 21. SECURE Android possible iOS?? impossibleAstro File Manager
  22. 22. SECURE
  23. 23. SECURE Android 권한을 유저에게 직접 요청! Sandbox가 앱 마다 다르다. 마켓 등록에 걸리는 시간 2시간 iOS 앱스토어 엔지니어가 직접 제어 엄격한 심사. 앱스토어 등록에 걸리는 시간 2주
  24. 24. AMERICANO
  25. 25. AMERICANO
  26. 26. AMERICANO
  27. 27. PHISHING APP
  28. 28. PHISHING APP
  29. 29. CHEST(PHISHING APP) 순서 동작설명 전달 정보 공격자는 사전에 입수한 개인정보를 목록에 1 있는 공격대상에게 Chest설치를 유도하 는 SMS를 발송한다. 일부 사용자는 SMS에 링크형식으로 포함된 2 악성코드를 설치한다. 스마트폰이 감염되면 전화번호와 통신사 정 3 보를 공격자에게 전달하고 좀비 스마트폰 상 전화번호, 통신사정보 태가 된다. 공격자는 확보한 개인정보 중 주민번호와 감 전화번화, 통신사정보, 주 4 염된 스마트폰 사용자의 전화 번호를 이용해 민번호 결제 사이트에 입력한다. 소액결제사이트는 인증번호를 감염된 스마 소액결제에 필요한 인증번 5 트폰으로 전달한다. 호 감염된 스마트폰은 SMS가 수신되면 결제사 소액결제에 필요한 인증번 6 이트의 발신번호인 경우 사용자에게 SMS를 호 보여주지 않고 공격자에게 다시 전달한다. 소액결제에 필요한 인증번 7 공격자는 전달받은 인증번호를 입력한다. 호 소액결제가 가능한 사이트에서 정상적인 결 8 제 절차를 완료하고 공격자는 현금화가 가능 한 물품 구매를 완료한다.
  30. 30. CHEST(PHISHING APP)
  31. 31. CHEST(PHISHING APP)
  32. 32. WARNING!
  33. 33. DDOS TROJAN/ANDROID.KRDDOS통신사 전화번호로 위장한 Trojan• 이동통신사(114) 발신번호로 위장하여 유포 중• 구글코리아 신규서비스앱, 폰키퍼, 카카오 업데이트 등이 있고, 제작자는 안드로이드 전용 모바일 보안업데이트 링크클릭 이라는 내용을 가장 오래 사용하고 있다.
  34. 34. DDOS TROJAN/ANDROID.KRDDOS
  35. 35. 스마트폰 보안 관리 수칙1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할수 있도록 한다.2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.3. 문자메시지로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축URL 주소로 악성파일이 배포되는 경우가 많으므로, 추가 애플리케이션이 설치되지않도록 각별히 주의한다.4. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.5. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.6. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.7. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.8. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.9. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.10. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
  36. 36. DDOS TROJAN/ANDROID.KRDDOS• TROJAN/ANDROID.KRDDOS.A• TROJAN/ANDROID.KRDDOS.B• TROJAN/ANDROID.KRDDOS.C• TROJAN/ANDROID.KRDDOS.D• TROJAN/ANDROID.KRDDOS.E• TROJAN/ANDROID.KRDDOS.F• TROJAN/ANDROID.KRDDOS.G• TROJAN/ANDROID.KRDDOS.H• TROJAN/ANDROID.KRDDOS.I• TROJAN/ANDROID.KRDDOS.J• TROJAN/ANDROID.KRDDOS.K• TROJAN/ANDROID.KRDDOS.L• TROJAN/ANDROID.KRDDOS.M 외 다수 (변종 계속 발견 중)
  37. 37. REFERENCE• HTTP://ERTEAM.NPROTECT.COM• HTTPS://PLUS.GOOGLE.COM/U/0/COMMUNITIES/100903743067544956282?CFEM=1• HTTP://DEVELOPER.ANDROID.COM/
  38. 38. WIKIPEDIA DONATE http://goo.gl/uj0JF
  39. 39. • UX • 구글 앱의 기본 UX -> 2.X, 3.X • ACTIONBAR, TAB, FRAGMENT, PAGER, DRAWER• INTERNAL EXTERNAL STORAGE, QUERY -> SQL, PARAMETERIZED • ASTRO FILE MANAGER, SANDBOX • SQL INJECTION -> RECOMMENDED PARAMETERIZED FUNCTION • RECOMMENDED EXTERNAL• PROGUARD -> OBFUSCATOR, REVERSING• SMS 소액결제, 체스트(통신사 사이트에서 소액결제 차단, 앱 설치X) • HTTP://TECHNIC1.BLOG.ME/40179985968 • PERMISSION 잘 볼 것• DDOS 좀비 폰

×