구글 지메일 등 안드로이드앱 해킹에 취약

• 美 캘리포니아대, 미시칸대 연구원(Qi Alfred Chen, Zhiyun Qian, Z. Morley Mao)은 구글의 지메일 등의
  안드로이드앱이 해킹에 매우 취약하다는 연구결과를 발표

 

주요내용

• 美 캘리포니아대, 미시칸대 연구원들은 구글 안드로이드 운영체제의 취약점을 발견하여 G메일 계정을 해킹
  시도한 결과 92% 성공률을 확인
• 또한 동일 취약점을 이용하여 다른 앱(H&R Block, Newegg, WebMD, Chase Bank, Hotels.com, Amazon)의
  해킹을 시도한 결과
   - 아마존(48%)을 제외한 대부분의 앱들의 80~90% 해킹이 가능했음

< 구글 취약점을 이용한 앱 해킹 성공률 >

• 해킹 시나리오
   ① 사용자들은 배경화면 앱(백그라운드로 동작)과 같이 악성기능이 없다고 생각되는 악성앱을 다운로드하여
       설치
      ※ 악성앱은 백그라운드로 동작하며, 권한은 단지 네트워크 접근만 허용하게 됨
   ② 악성앱 실행 시, 구글 운영체제의 공유메모리 기능을 해킹하여, 사용자가 Chase Bank, Hotels.com,
       Amazon 등의 앱에 아이디과 비밀번호를 입력할 시 피싱 공격 발생
   ③ 사용자들은 지메일, 아마존, 체이스은행과 같은 앱에 입력한다고 생각하지만 실제로는 악성 앱이 생성하는
       가짜 스크린에 그들의 정보를 입력하게 되어 계정 정보가 해커의 외부서버로 전송됨
• 연구원들은 3개의 해킹 데모 동영상을 통해 계정, 주민번호, 사진이미지 등의 정보가 어떻게 탈취되는지 시연
  하였으며, 해킹 공격은 스마트폰상의 팝업을 제공하는 앱이나 알람이 대부분 같은 디자인으로 생성하게 만드는
  원리를 공격에 이용
      ※ 데모 동영상 : https://sites.google.com/site/uistateinferenceattack/demos
• 연구원들은 다른 모바일 운영체제-애플 iOS와 마이크로소프트 윈도우에도 이 같은 해킹방법이 성공할 것이라고
  예상함
• 현재 관련 취약점 기사에 대해 구글은 어떠한 답변도 없는 상황임

 

[출처]
1. http://www.cs.ucr.edu/~zhiyunq/pub/sec14_android_activity_inference.pdf
2. http://fortune.com/2014/08/22/gmail-smartphone-app-vulnerable-to-hackers-researchers-say/
3. https://sites.google.com/site/uistateinferenceattack/demos