Offcanvas

모바일 / 보안 / 운영체제

드러난 안드로이드 보안 취약점 FAQ

2011.05.18 ared Newman  |  PCWorld

안드로이드폰의 보안 취약점으로 인해, 연락처, 캘린더, 사진 데이터들이 유출될 수 있는 것으로 알려졌다. 그러나 이것이 안드로이드 보안에 심각한 것인지, 아니면 그저 두려움을 확산시키기 위한 과장된 이야기 인지 확실하지 않다.

 

지금까지 알려진 사실들을 점검해 보자.

 

이슈가 무엇인가?

여러 구글 안드로이드 애플리케이션은 클라이언트로진(ClientLogin)이라는 방법을 통해서 웹 기반의 서비스에 민감한 정보의 전송을 인증한다. 클라이언트로진은 승인 토큰을 사용해서 사용자의 로그인 및 비밀번호를 보안화된 https 연결로 구글 캘린더나 동기화된 연락처 등 웹 서비스에 전송한다.

 

울름 대학교(Ulm University) 연구원들에 따르면, 문제는 이 토큰이 인증되고 돌아왔을 때이다. 같은 토큰을 이용해서 최대 2주까지 보안화 되지 않은 http 연결을 통할 수 있는데, 와이파이 네트워크 상의 해커들에게 공격의 여지를 주게 되는 것이다.

 

무엇이 위험한가?

해커는 훔친 토큰을 통해서 캘린더, 연락처, 혹은 피카사 이미지에 액세스가 가능하다. 이 서비스 내의 내용을 변경할 수 있다는 것이다. 산업 스파이 혹은 개인 스토킹을 할 수 있다.

 

대상 기기는 무엇인가?

이 이슈는 안드로이드의 2.3.4 버전 이전의 연락처, 캘린더와 2.3.4의 피카사 웹 앨범이 포함된다. 연구원들은 안드로이드폰 중 99.7%라고 주장했는데, 이것은 최근에 안드로이드 마켓에 접속한 기기만을 대상으로 하기 때문에 정확하지는 않다. 그러나 안드로이드폰 대부분이 영향이 있다고 보면 된다.

 

누가 공격받기 쉬운가?

쉽지는 않다. 이 공격은 사용자와 해커가 같은 와이파이 네트워크 상에 있어야 한다. 스타벅스 등과 같은 공개 와이파이 액세스 포인트를 위장한 경우에 일반적으로 보안화 처리되지 않은 와이파이 환경일 때 더 위험하다.

 

사용자가 할 수 있는 것은 무엇인가?

가장 좋은 것은 안전한 와이파이 네트워크만을 이용하는 것이다. 또한, 안드로이드 설정에서 공개 와이파이에 접속됐을 때 자동 동기화 하는 설정을 꺼야 한다. 피카사 정보는 아직 취약하지만, 안드로이드 2.3.4로 업데이트 하면, 대부분의 문제점이 해결되지만, 이것은 전적으로 이동통신사와 휴대폰 제조업체의 손에 달린 것이다.

 

구글이 무엇을 해야 하나?

연구원들은 모든 애플리케이션이나 동기화 서비스가 안드로이드 2.3.4의 구글 캘린더나 연락처처럼 https로 전환해야 한다는 것을 골자로, 구글에 대해 다양한 권고 사항을 전했다. OAuth 같은 인증 서비스의 보안을 강화하고, 인증 토큰 수명에 제한을 두거나 http 연결을 통한 클라이언트로진 요청을 거절하고, 자동 와이파이 연결을 안전한 네트워크로 제한하는 방법을 만들어야 한다는 설명이다. editor@idg.co.kr

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.