Offcanvas

��������������������������������������������������������������������������������� ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� ���������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������

안드로이드 '풀-디스크 암호화' 무력화 가능성··· 퀄컴 기반 기기가 주인공

퀄컴 기반 안드로이드 기기에서 무차별 대입 공격(brute-force attack)에 취약한 결함이 발견됐다. 해커뿐 아니라 법 집행기관의 의뢰를 받은 안드로이드 기기 제조사에 의해서도 악용될 소지가 있다는 점에 눈길을 끈다.  안드로이드의 풀 디스크 암호화는 무차별 대입 공격에 취약하다. 출처 : IDGNS 퀄컴 칩셋이 탑재된 안드로이드 기기에서 악용 가능성 높은 취약점이 출현했다. 사용자 데이터를 보호하는 암호화키를 추출하고 무차별 대입 공격을 감행하는데 활용될 수 있는 취약점이다.  이는 지난주 보안 연구원 갈 베니아미니가 지적한 사항으로, 공격자는 두 개의 취약점을 이용해 무차별 대입 공격을 시도할 수 있다. 퀄컴은 ARM CPU 트러스트존 내에 존재하는 이들 취약점을 올해 패치한 바 있지만 여전히 수많은 기기가 이 위험에 노출된 상태다.  ARM 트러스트존은 메인 OS와 따로 작동하는 자체 TEE(Trusted Execution Environment)와 커널을 구동하는 하드웨어 보안 모듈이다. 퀄컴의 경우는 TEE를 QSEE(Qualcomm Secure Execution Environment)라고 지칭하고 있다.  안드로이드 기기의 풀 디스크 암호화는 DEK(device encryption key)라고 불리는 무작위로 생성된 키를 통해 관리된다. DEK는 PIN, 비밀번호, 패턴 등에서 비롯된 다른 키와 함께 자체 암호화가 이뤄진다. 만약 공격자들이 DEK 추출에 성공하면, 무차별 대입 공격을 감행해 기기 비밀번호를 알아낼 수 있다. 비밀번호 오입력 시 지연현상을 일으키는 소프트웨어 보호책이 동작하지 않기 때문이다. TEE에서 구동되는 애플리케이션인 키마스터를 활용해 DEK를 기기 하드웨어에 묶어버리는 방법을 통해서다.  베니아미니는 이와 관련해 iOS의 경우 소프트웨어로 추출되지 않는 하드웨어 기반 키인 UID에 DEK를 묶지만, 퀄컴의 경우는 QSEE...

안드로이드 취약점 퀄컴 결함 풀 디스크 암호화 FDE 무차별 대입 공격

2016.07.05

퀄컴 기반 안드로이드 기기에서 무차별 대입 공격(brute-force attack)에 취약한 결함이 발견됐다. 해커뿐 아니라 법 집행기관의 의뢰를 받은 안드로이드 기기 제조사에 의해서도 악용될 소지가 있다는 점에 눈길을 끈다.  안드로이드의 풀 디스크 암호화는 무차별 대입 공격에 취약하다. 출처 : IDGNS 퀄컴 칩셋이 탑재된 안드로이드 기기에서 악용 가능성 높은 취약점이 출현했다. 사용자 데이터를 보호하는 암호화키를 추출하고 무차별 대입 공격을 감행하는데 활용될 수 있는 취약점이다.  이는 지난주 보안 연구원 갈 베니아미니가 지적한 사항으로, 공격자는 두 개의 취약점을 이용해 무차별 대입 공격을 시도할 수 있다. 퀄컴은 ARM CPU 트러스트존 내에 존재하는 이들 취약점을 올해 패치한 바 있지만 여전히 수많은 기기가 이 위험에 노출된 상태다.  ARM 트러스트존은 메인 OS와 따로 작동하는 자체 TEE(Trusted Execution Environment)와 커널을 구동하는 하드웨어 보안 모듈이다. 퀄컴의 경우는 TEE를 QSEE(Qualcomm Secure Execution Environment)라고 지칭하고 있다.  안드로이드 기기의 풀 디스크 암호화는 DEK(device encryption key)라고 불리는 무작위로 생성된 키를 통해 관리된다. DEK는 PIN, 비밀번호, 패턴 등에서 비롯된 다른 키와 함께 자체 암호화가 이뤄진다. 만약 공격자들이 DEK 추출에 성공하면, 무차별 대입 공격을 감행해 기기 비밀번호를 알아낼 수 있다. 비밀번호 오입력 시 지연현상을 일으키는 소프트웨어 보호책이 동작하지 않기 때문이다. TEE에서 구동되는 애플리케이션인 키마스터를 활용해 DEK를 기기 하드웨어에 묶어버리는 방법을 통해서다.  베니아미니는 이와 관련해 iOS의 경우 소프트웨어로 추출되지 않는 하드웨어 기반 키인 UID에 DEK를 묶지만, 퀄컴의 경우는 QSEE...

2016.07.05

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9