2013.07.10

구글 “안드로이드의 주요 보안 취약점, 대다수 사용자에게 무해”

Jared Newman | TechHive


한 보안 전문가가 안드로이드 디바이스 99%에 악영향을 끼칠 수 있다고 밝힌 보안 취약점이 사실은 대부분 안드로이드 사용자들에게 무해한 것으로 알려졌다.

모바일 보안 업체인 블루박스(Bluebox)는 “마스터 키(Master Key)”라는 익스플로잇이 “앱 스토어나휴대폰, 혹은 최종사용자가 전혀 알 수 없는 상태에서 합법적인 앱도 악성 트로이 바이러스로 변화시킨다”라고 밝힌 바 있다. 지난 주 블로그 글을 통해서 블루박스 CTO 제프 포리스탈은 지난 4년간 출시된 거의 모든 안드로이드폰이 위험하다고 지적했다.

블루박스의 이런 주장은 많은 매체에서 대서특필 됐으나, 구글은 대부분의 안드로이드 사용자들이 이 보안 취야점에 대해서 안전하다고 밝혔다.

구글 대변인 지나 시글리아노는 지디넷(ZDNet)측에 구글 플레이 스토어에 제출되는 모든 앱은 이 익스플로잇이 있는지 정밀 조사를 받았다고 밝혔다. 지금까지 이 익스플로잇을 악용한 앱은 없었으며, 만일 그렇다면 스토어에 등록되지 않았을 것이라고 설명했다.

만일 이 공격이 구글 플레이 스토어를 통한 것이 아니라면, 어떻게 안드로이드 폰에 들어갈 수 있었을까? 포리스탈은 지난 주 컴퓨터월드(Computerworld)측에 이 익스플로잇이 서드파티 앱 스토어, 이메일 첨부파일, 웹사이트 다운로드, USB를 통한 직접 전송에 의해서 안드로이드 폰에 들어갈 수 있다고 설명했다.

하지만 많은 안드로이드 마니아들이 알고 있듯이, 안드로이드 폰은 사용자가 설정 메뉴를 통해서 허가를 하기 전에는 이런 방법으로 앱을 설치할 수 없다. 기본적으로 외부에서 온 앱을 설치하는 옵션은 비활성화되어 있다. 만일 이 옵션이 활성화되어 있다고 하더라도, 안드로이드 4.2 이상의 운영체제를 구동하는 폰이라면, 앱 인증 과정을 거쳐야 한다. 앱 인증은 구글 플레이 스토어 앱이 아닌 경우 악성 코드가 있는지 확인하는 것이다. 이 인증은 기본적으로 활성화되어 있다.

말하자면, 실제로 “마스터 키”에 영향을 받으려면 구글 플레이 외의 앱 설치를 활성화하고, 안드로이드의 내장 스캐닝을 비활성화 한 다음, 어떤 앱이 익스플로잇에 악용되는 사항에 맞닥뜨려야 한다는 것이다. 이런 설치 과정을 다 알고 있어야 하는데, 이 점을 감안하면 전체 사용자의 99%보다는 적을 것이다.

그러나 안전을 위해서 구글은 이 취약점에 대한 패치를 배포했고, 향후 제조사들에 따라서 소프트웨어 업데이트에 포함될 것이다. 시글리아노는 삼성과 몇몇 OEM들이 적용했으며, 많이 사용되고 있는 ROM인 시아노젠모드(CyanogenMod) 역시 패치됐다. editor@itworld.co.kr



2013.07.10

구글 “안드로이드의 주요 보안 취약점, 대다수 사용자에게 무해”

Jared Newman | TechHive


한 보안 전문가가 안드로이드 디바이스 99%에 악영향을 끼칠 수 있다고 밝힌 보안 취약점이 사실은 대부분 안드로이드 사용자들에게 무해한 것으로 알려졌다.

모바일 보안 업체인 블루박스(Bluebox)는 “마스터 키(Master Key)”라는 익스플로잇이 “앱 스토어나휴대폰, 혹은 최종사용자가 전혀 알 수 없는 상태에서 합법적인 앱도 악성 트로이 바이러스로 변화시킨다”라고 밝힌 바 있다. 지난 주 블로그 글을 통해서 블루박스 CTO 제프 포리스탈은 지난 4년간 출시된 거의 모든 안드로이드폰이 위험하다고 지적했다.

블루박스의 이런 주장은 많은 매체에서 대서특필 됐으나, 구글은 대부분의 안드로이드 사용자들이 이 보안 취야점에 대해서 안전하다고 밝혔다.

구글 대변인 지나 시글리아노는 지디넷(ZDNet)측에 구글 플레이 스토어에 제출되는 모든 앱은 이 익스플로잇이 있는지 정밀 조사를 받았다고 밝혔다. 지금까지 이 익스플로잇을 악용한 앱은 없었으며, 만일 그렇다면 스토어에 등록되지 않았을 것이라고 설명했다.

만일 이 공격이 구글 플레이 스토어를 통한 것이 아니라면, 어떻게 안드로이드 폰에 들어갈 수 있었을까? 포리스탈은 지난 주 컴퓨터월드(Computerworld)측에 이 익스플로잇이 서드파티 앱 스토어, 이메일 첨부파일, 웹사이트 다운로드, USB를 통한 직접 전송에 의해서 안드로이드 폰에 들어갈 수 있다고 설명했다.

하지만 많은 안드로이드 마니아들이 알고 있듯이, 안드로이드 폰은 사용자가 설정 메뉴를 통해서 허가를 하기 전에는 이런 방법으로 앱을 설치할 수 없다. 기본적으로 외부에서 온 앱을 설치하는 옵션은 비활성화되어 있다. 만일 이 옵션이 활성화되어 있다고 하더라도, 안드로이드 4.2 이상의 운영체제를 구동하는 폰이라면, 앱 인증 과정을 거쳐야 한다. 앱 인증은 구글 플레이 스토어 앱이 아닌 경우 악성 코드가 있는지 확인하는 것이다. 이 인증은 기본적으로 활성화되어 있다.

말하자면, 실제로 “마스터 키”에 영향을 받으려면 구글 플레이 외의 앱 설치를 활성화하고, 안드로이드의 내장 스캐닝을 비활성화 한 다음, 어떤 앱이 익스플로잇에 악용되는 사항에 맞닥뜨려야 한다는 것이다. 이런 설치 과정을 다 알고 있어야 하는데, 이 점을 감안하면 전체 사용자의 99%보다는 적을 것이다.

그러나 안전을 위해서 구글은 이 취약점에 대한 패치를 배포했고, 향후 제조사들에 따라서 소프트웨어 업데이트에 포함될 것이다. 시글리아노는 삼성과 몇몇 OEM들이 적용했으며, 많이 사용되고 있는 ROM인 시아노젠모드(CyanogenMod) 역시 패치됐다. editor@itworld.co.kr

X