Forensic analysis of M-Banking Apps on Android Platforms

Abstract

In technology advancement, smartphones play a crucial role and are in widespread use in the business and personal domains. Among the large number of available mobile apps and transactions made for such devices, mobile banking (i.e., m-banking) apps are one of the top app categories that are gaining popularity. Based on a study of mobile money trends in 2015, approximately 69% of mobile users from 15 countries carried out their banking activities via mobile devices. Even though most of these activities are balance checking, many banking institutions offer a mobile app which allows their customers to conveniently perform other banking activities (e.g., check deposit, money transfer) without having to be present at the bank branch office. Despite the available features, there has been increasing concern, especially, regarding insufficient security measures in the m-banking apps (i.e., roughly 10% of mobile users do not trust in m-banking app security.) Since these m-banking apps usually require and store sensitive customer data, the apps have become prime targets for criminals and this has led to a substantial increase in the likelihood of data breaches associated with the use of such apps. In addition to user private information, the record of banking transactions made through the m-banking apps may be stored on the device even after the user has closed the apps. While the amount and type of sensitive information stored and remaining on the mobile devices vary from one to another, the information about how much and how data is stored (or deleted) is not available to the users or public. It therefore becomes important to assess the security mechanisms of these m-banking apps and, more importantly, for users and developers to be aware of any critical security risks associated with the m-banking apps. Among the m-banking apps available today, we focused on the apps developed for the Android platform partly because Android apps may be downloaded from websites where malicious apps usually reside. Due to these reasons, in this thesis, forensic taxonomy for m-banking apps was proposed for the collection and analysis of data from mobile devices that use m-banking apps. Guidelines to determine the security level of the m-banking apps in Thailand were used as an example to demonstrate how the guidelines may be used to assess mobile app security. In this study, m-banking apps from the seven financial institutions in Thailand were analyzed: (1) SCB EASY from the Siam Commercial Bank, (2) Krungsri from Bank of Ayudhya, (3) K-Mobile Banking from Kasikornbank, (4) Bualuang mBanking from Bangkok Bank, (5) MyMo from Government Savings Bank, (6) KTB netbank from Krung Thai Bank, and (7) TMB Touch from Thai Military Bank. All seven apps were installed on two different Android devices. Typical financial transactions, such as balance inquiry, money transfer, calendar, ATM/branch search location, and bill payment, were made on both devices for the duration of one month. Afterwards, the data in two devices were extracted both logically and physically through JTAG pins. The obtained data and image were then analyzed in order to assess the security performance of the seven m-banking apps. To be specific, we analyze the data stored and or remaining on the phone (either in the data folder, cache, or SD card) after the user had closed using the apps. To the best of our knowledge, this thesis is the first study that proposes using forensic taxonomy to analyze the security level of the m-banking apps from the user's point of view. While this thesis emphasizes the forensic activity, it is our hope that the results presented in this thesis could raise concerns for both users to be aware of the potential impact of security and privacy of the m-banking apps and for the app developers to take into account the security issues during the design and testing phase to detect and resolve any security vulnerabilities before releasing the apps to the users.

เนื่องจากความก้าวหน้าทางเทคโนโลยี โทรศัพท์เคลื่อนที่ได้เข้ามามีบทบาทสำคัญในเชิงธุรกิจและการศึกษา ทำให้แอพพลิเคชั่นถูกพัฒนาขึ้นเพื่อรองรับการใช้งานผ่านทางโทรศัพท์ โดยแอพพลิเคชั่นธนาคารนั้นกำลังได้รับความนิยมและถูกใช้งานแพร่หลายมากขึ้น จากผลการวิจัยในเรื่องแนวโน้มการใช้จ่ายเงินผ่านโทรศัพท์ในปีที่ผ่านมาพบว่า ร้อยละ 69 ของผ้ใช้งานโทรศัพท์ จาก 15 ประเทศทั่วโลกกำลังทำธุรกรรมการเงินกับทางธนาคารผ่านทางโทรศัพท์ เช่น การตรวจสอบยอดเงินในบัญชี การโอนเงิน และการจ่ายบิล ซึ่งเซอร์วิสที่ทางธนาคารให้บริการผ่านทางโทรศัพท์นั้นถือเป็นการอำนวยความสะดวกให้กับผู้ใช้งานที่ไม่สามารถทำธุรกรรมผ่านทางสาขาของธนาคารได้ แต่อย่างไรก็ตามมาตรฐานความปลอดภัยในแอพพลิเคชั่น ยังคงเป็นประเด็นที่สำคัญสำหรับผู้ใช้งานในการตัดสินใจที่จะทำธุรกรรมผ่านทางแอพพลิเคชั่น เนื่องด้วยแอพพลิเคชั่นที่ติดตั้งบนระบบปฏิบัติการที่ต่างกัน มีวิธีการจัดเก็บข้อมูลผู้ใช้งาน รวมถึงข้อมูลการทำธุรกรรมการเงินในหน่วยความจำภายในเครื่องที่แตกต่างกัน ทำให้เป็นโทรศัพท์กลายเป็นเป้าหมายในการโจมตีจากผู้ไม่หวังดีและมีความเป็นไปได้ที่ข้อมูลผู้ใช้งานจะถูกเข้าถึงผ่านกรใช้งานแอพพลิเคชั่น ดังนั้นประสิทธิภาพของกลไกการรักษาความปลอดภัยของแอพพลิเคชั่นธนาครจึงควรถูกประเมิน เพื่อสร้างความตระหนักความเสี่ยงด้านความปลอดภัยและความเป็นส่วนตัวให้กับผู้ใช้งานและผู้พัฒนาแอพพลิเคชั่นธนาคาร ในการวิจัยครั้งนี้ แอพพลิเคชั่นธนาคารที่ถูกพัฒนาบนแอนดรอยด์ ประกอบด้วย SCB EASY, Krungsri, K-Mobile Banking, Bualuang mBanking, MyMo, KTB netbank และ TMB Touch ถูกนำมาติดตั้งบนโทรศัพท์เคลื่อนที่ซัมซุงกาแล๊กซี่ S4 ที่มีคุณสมบัติต่างกัน 2 เครื่อง และดำเนินการทำธุรกรรมการเงิน เช่น การตรวจสอบยอดเงินในบัญชี, การโอนเงิน, การตั้งค่าเตือน, การค้นหาสาขาธนาคาร และการจ่ายบิล โดยงานวิจัยนี้เป็นงานค้นคว้าชิ้นแรกที่นำเสนอนการจัดลำดับการวิเคราะห์ข้อมูลเชิงนิติคอมพิวเตอร์บนแอพพลิเคชั่นธนาคาร โดยมุ่งเน้นในส่วนการจัดเก็บหลักฐานทางดิจิทัลและการวิเคราะห์ข้อมูลของการใช้งานแอพพลิเคชั่นจากมุมมองของผู้ใช้งาน ผ่านทางการสร้างอิมเมจทางกายภาพของหน่วยความจำทั้งหมดภายในเครื่องด้วยเทคนิคคำสั่ง DD และ JTAG จากนั้นใช้ซอฟท์แวร์ในการทำดิจิทัลฟอเรนสิกส์ที่ได้รับการยอมรับในระดับสากลในการวิเคราะห์อิมเมจ เพื่อค้นหาข้อมูลที่จัดเก็บอยู่ในเครื่องและ/หรือข้อมูลที่เหลืออยู่หลังจากผู้ใช้งานปิดการใช้งานแอพพลิเคชั่น และสามารถระบุธุรกรรมการเงินที่ผู้ใช้งานได้ดำเนินการเสร็จสิ้น นอกจากนี้แอพพลิเคชั่นโค้ดถูกวิเคราะห์ตามฟังก์ชั่นการทำงานและกลไกความปลอดภัย เพื่อค้นหาข้อมูลผู้ใช้งานที่อาจถูกฝังอยู่ภายในโค้ดรวมถึงรีคอมไพล์แอพพลิเคชั่น และสามารถระบุธุรกรรมการเงินที่ผู้ใช้งานได้ดำเนินการเสร็จสิ้น นอกจากนี้โค้ดถูกวิเคราะห์ตามฟังก์ชั่นการทำงานและกลไกความปลอดภัย เพื่อค้นหาข้อมูลผู้ใช้งานที่อาจถูกฝังอยู่ภายในโค้ด รวมถึงรีคอมพพล์แอพพลิเคชั่นเพื่อแก้ไขโค้ดในส่วนของการตรวจสอบใบรับรอง แอพพลิเคชั่นที่ผ่านการรีคอมไพล์ถูกเซ้นด้วยใบรับรองที่สร้างขึ้นมาโดยเฉพาะและติดตั้งลงบนเครื่อง จากผลการทดลองจะเห็นได้ว่าโดยส่วนใหญ่พบข้อมูลผู้ใช้งานถูกจัดเก็บในส่วนของพาธทิชั่นข้อมูลผู้ใช้ เช่น พบข้อมูลเบอร์โทรศัพท์ วันเกิด รหัสผ่าน หมายเลขบัตรประชาชน และหมายเลขบัตรเครดิต ซึ่งข้อมูลเหล่านี้สามารถูกนำไปใช้ก่อาชญากรรมทางไซเบอร์ ปลอมแปลงเป็นเจ้าของบัญชีเพื่อทำธุรกรรมทางการเงินโดยปราศจากการแจ้งเตือนไปยังเจ้าของบัญชี แอพพลิเคชั่นบางส่วนมีโมดูลความปลอดภัย เช่น การเข้ารหัสข้อมูล การทำ SSL pinning แต่ไม่ถูกใช้งานโดยตัวแอพพลิเคชั่นทำให้สามารถทราบถึงข้อมูลผู้ใช้งานในรูปแบบไม่เข้ารหัสข้อมูล แต่อย่างไรก็ตามจากการประเมินความปลอดภัยบนแอพพลิเคชั่นธนาคารพบว่า มาตรฐานความปลอดภัยเบื้องต้นได้รับการติดตั้งอยู่ในแอพพลิเคชั่นธนาคาร ทั้งนี้เพื่อยกระดับมาตรฐานความปลอดภัยของแอพพลิเคชั่นบนโทรศัพท์ ผู้พัฒนาแอพพลิเคชั่นควรคำนึงถึงข้อกำหนดด้านความปลอดภัยในขณะที่วางแผนพัฒนาแอพพลิเคชั่น ก่อนที่จะปล่อยแอพพลิเคชั่นนั้นให้ผู้ใช้งานดาวน์โหลด