Security Archives - LINE ENGINEERING

Android 취약점 탐색 자동화를 위한 Jandroid 적용기

By Sunjoo Park(grigoritchy) | 2020.04.14 2020.04.16

I'm in charge of security checks at LINE.

안녕하세요. LINE에서 보안 업무를 담당하고 있는 박선주입니다. LINE 보안 팀에서는 릴리스될 서비스와 애플리케이션의 보안 위협을 사전에 발견하여 제품을 더 안전하게 만들기 위해 노력하고 있습니다. 서비스나 애플리케이션을 대상으로 보안 검수를 진행하다 보면, 기존에 보안 이슈가 발생했던 코드와 유사한 패턴을 사용하거나 취약한 패턴의 코드를 재사용하여 취약점이 발생하는 경우가 많습니다. 이처럼 빈번하게 발생하는 보안 이슈를 쉽고 빠르게 탐지하기 위해서 상용 솔루션을 사용하거나 자체적인 도구를 개발하고 있는데요. 이번 포스팅에서는 Android 애플리케이션에서 사용할 수 있는 자동화 취약점 탐색 도구인 Jandroid를 LINE Android 애플리케이션에 적용하여 보안 이슈를 발견한 내용을 공유하고자 합니다.

#Android #Automation #Security #Vulnerability

오크(ORK) – 난독화 컴파일러 도구 2편

By Sangmin Chung | 2020.03.06 2020.03.30

It isn't over until it's over. - iwillhackyou

안녕하세요. LINE에서 클라이언트 보호 솔루션인 AIR ARMOR 개발을 담당하고 있는 정상민입니다. 지난 1편에선 예제 소스 코드의 컴파일 과정을 살펴보며 난독화가 실행되는 단계를 확인했습니다. 이번 글에선 오크의 난독화가 어떻게 동작하는지 역시 예제 실행 파일을 통해서 살펴보겠습니다.

#C/C++ #LLVM #Obfuscation #Security

오크(ORK) – 난독화 컴파일러 도구 1편

By Sangmin Chung | 2020.03.06 2020.03.30

It isn't over until it's over. - iwillhackyou

안녕하세요. LINE에서 클라이언트 보호 솔루션인 AIR ARMOR 개발을 담당하고 있는 정상민입니다. 이전 글, ‘iOS 코드 서명에 대해서’에서는 심민영 님이 iOS 앱의 무결성과 서명자를 검증할 수 있는 iOS 코드 서명에 대해서 설명했는데요. 이번 글에서는 앱의 위변조 및 도용 방지를 위해서 자체 개발 중인 난독화 도구를 소개하려고 합니다. 예제 소스 코드를 이용해 컴파일러 동작의 각 단계를 확인하면서 난독화가 어떻게 수행되는지 살펴보겠습니다.

#C/C++ #LLVM #Obfuscation #Security

자바 애플리케이션의 보안 검수 방법 살펴보기

By 최하늘 | 2019.03.27 2019.05.08

LINE에서 보안 업무를 맡고 있습니다.

안녕하세요. LINE에서 보안 업무를 담당하고 있는 최하늘입니다. LINE은 메신저 이외에도 많은 서비스를 론칭하고 있고 각 서비스는 새로운 기능이 추가되거나 버그가 수정될 때마다 수시로 업데이트됩니다. 보안 팀에선 새로 출시한 서비스나 업데이트한 서비스에 보안 상 문제가 없는지 확인하는데요. 이때 기존 코드에 이미 수행했던 동일한 보안 평가를 서비스에 새로 추가된 코드에 반복적으로 수행해야 하는 경우가 많았습니다. 그래서 보안 팀에선 자주 발견되는 보안 취약점 패턴을 정의하는 등 취약점을 자동으로 탐지해내기 위해 끊임없이 노력하고 있는데요. 이와 더불어 개발자들이 개발 과정에서 취약점을 자동으로 발견할 수 있는 도구를 사용한다면 보안 평가 과정에서 발견되는 보안 이슈가 훨씬 줄어들 수 있을 것입니다. 실제로 이를 위한 오픈소스나 상용 제품이 존재하며 LINE에서도 이를 적용하여 애플리케이션의 보안 이슈를 사전에 제거하려고 노력하고 있습니다. 이번 글에서는 보안 취약점을 자동으로 찾아내는 방법 중의 하나인 정적 분석에 대해서 알아보고, 자바(Java)용 오픈소스 정적 분석 도구인 SpotBugs를 보안 평가에 어떻게 활용할 수 있는지 알아보겠습니다.

#Security #Static analysis

2018년 LINE Security Bug Bounty Program 결과

By k2wanko | 2019.02.21 2019.05.08

LINE에서 취약점을 찾고 있습니다.

안녕하세요. LINE에서 보안 업무를 맡고 있는 Kazuhiro Kubota입니다. 이번 글에서는 2018년에 진행된 LINE Security Bug Bounty 프로그램의 결과를 공개하겠습니다.

#Bug Bounty #Security

AIR GO에 안드로이드 9 APK 서명 scheme v3 적용하기

By 김승훈 | 2019.01.28 2019.05.08

안녕하세요 AIR GO에서 진단파트 개발 업무를 진행하는 김승훈입니다.

안녕하세요. LINE에서 AIR GO를 개발하고 있는 김승훈입니다. AIR GO에 대해선 이전에 ‘AIR GO를 소개합니다‘에서 먼저 말씀드렸는데요. 이번 블로그에서는 그에 이어 APK 서명에 관한 내용과 AIR GO 탐지 정보를 소개하고자 합니다. 최근 Google이 Android 9(Pie)에서 APK Signature Scheme v3을 소개했는데요. 이에 관련된 내용을 AIR GO에 적용하면서 개발자에게 도움이 될 만한 부분을 정리한 글입니다.

#AIR GO #Android #APK Signing #Security

FIDO at LINE: 패스워드 없는 세상으로의 첫 발걸음

By 신기은 | 2018.12.27 2019.05.08

LINE에서 보안 소프트웨어 엔지니어로 일하고 있으며 FIDO 프로젝트를 포함한 고급 인증 기술을 담당하고 있습니다. 2015년부터 FIDO Alliance의 회원이었으며 FIDO 사양과 W3C WebAuthn 표준에 기여하였습니다.

안녕하세요. 오늘은 LINE의 인증서버가 서비스 제공업체로서는 전세계 최초로 FIDO(Fast Identity Online) Universal Server(모든 FIDO 인증 장치와 상호호환성을 보장하는 서버) 인증을 획득한 소식을 전해드리려고 합니다.

#FIDO

AIR GO를 소개합니다

By 김태우 | 2018.09.28 2019.05.08

AIR GO 진단 파트의 개발업무를 담당하고 있습니다.

AIR GO는 Android와 iOS의 패키지 파일(APK 파일과 IPA 파일)을 스캔하여 취약점을 찾아주는 서비스입니다. 오프소스 툴인 SandDroid를 사용해보신 분이라면 어떤 서비스인지 쉽게 떠올릴 수 있을 것 같습니다. 최근 LINE에서는 앱을 배포하기 전에 AIR GO를 활용하여 취약점을 발견하고 통지함으로써 앱에 포함된 위험을 미리 제거하고 있습니다. 또한 AIR GO는 누구나 간단한 이메일 계정 등록만으로 사용 가능한 서비스입니다. 보안 서비스 ‘AIR’는 이미 한 번 소개된 적이 있는데요. 이번에는 엔지니어의 관점에서 AIR를 구성하는 도구 중 하나인 AIR GO에 대해서 소개드리려고 합니다.

#AIR GO #vulnerability detection

2018년 상반기 LINE Security Bug Bounty Program 결과

By 이명재 | 2018.08.03 2018.08.03

LINE에서 보안 업무를 맡고 있습니다.

안녕하세요, LINE에서 보안 업무를 맡고 있는 이명재(MJ)라고 합니다.

2018년 상반기(1월 1일～6월 30일) 동안 진행된 LINE Security Bug Bounty 프로그램 결과를 여러분께 알려드리려고 합니다.
LINE Security Bug Bounty Program은 LINE이 제공하는 서비스에 잠재되어 있는 취약점에 대해 외부 보안 전문가들로부터 보고를 받고 문제점을 수정하여 더욱 안전한 서비스를 제공하는 데 목적이 있습니다.

#Bug Bounty #LINE Bug Bounty #LINE-Bug-Bounty

LINE Security Bug Bounty Program 2017년도 운영 결과

By 이명재 | 2018.02.13 2019.05.08

LINE에서 보안 업무를 맡고 있습니다.

안녕하세요, LINE에서 보안 업무를 맡고 있는 이명재(MJ)라고 합니다.

이번 글에서는 2017년(1월 1일～12월 31일) 동안 진행된 LINE Security Bug Bounty 프로그램을 뒤돌아보며, 여러분께 그 결과를 소개하려고 합니다.

대상 확대 및 기부 제도

‘LINE Security Bug Bounty Program’은 LINE이 제공하는 서비스에 잠재적으로 존재하는 취약점에 대해 외부의 보안 전문가들로부터 보고를 받아, 가급적 빨리 문제점을 수정함으로써 더욱 안전한 서비스를 제공하는 것을 목적으로 하고 있습니다. 지난 기사에서 소개한 바 있습니다만, 2017년에는 프로그램 대상을 확대하여 더욱 많은 보고를 받을 수 있었습니다. 또한 11월부터는 포상 대상자가 보상금을 기부할 수 있는 옵션을 제공하기 시작했습니다.

#Bug Bounty #Security