애플리케이션 로그를 이용한 공유 자전거 시스템의 잠금장치 해제 방법

Vol. 29, No. 4, pp. 719-728, 8월. 2019
10.13089/JKIISC.2019.29.5.719, Full Text:
Keywords: Shared bike, Dockless bike sharing system, Analyzing application log, Reverse engineering
Abstract

최근 자동차, 자전거 등 ‘탈 것’을 공유하는 공유 모빌리티 사업 시장이 점점 커지고 있으며 많은 사업자가 다양한서비스를 제공하고 있다. 공유 모빌리티의 보안 취약점으로 인해 정상적인 과금을 할 수 없다면 사업자는 사업을 지속 할 수 없으므로 보안에 허점이 있으면 안 된다. 하지만 공유 모빌리티 보안에 대한 인식과 이에 대한 연구는 부족한 상황이다. 본 논문에서는 국내 한 공유 자전거 업체를 선정하여 서비스 애플리케이션 로그에 노출된 보안 취약점을 분석했다. 로그를 통해 자전거 잠금장치의 비밀번호와 AES-128 알고리즘의 암호화 키를 쉽게 얻을 수 있었고,소프트웨어 역공학 기법을 활용하여 잠금 해제를 위한 데이터 생성 과정을 확인했다. 이를 이용하여 100%의 성공률로 잠금장치를 해제하여 과금 없이 서비스를 사용할 수 있음을 보인다. 이를 통해 공유 모빌리티 사업에서 보안의 중요성을 알리고 새로운 보안 방안이 필요함을 시사한다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
조준완, 이지은 and 김광조, "Unlocking Shared Bike System by Exploiting an Application Log," Journal of The Korea Institute of Information Security and Cryptology, vol. 29, no. 4, pp. 719-728, 2019. DOI: 10.13089/JKIISC.2019.29.5.719.

[ACM Style]
조준완, 이지은, and 김광조. 2019. Unlocking Shared Bike System by Exploiting an Application Log. Journal of The Korea Institute of Information Security and Cryptology, 29, 4, (2019), 719-728. DOI: 10.13089/JKIISC.2019.29.5.719.