번들 된 OpenSSL 라이브러리, 모바일 앱 및 Android4.1.1에 취약점 "Heartbleed"에 영향을 미치는 것을 확인

트렌드 마이크로는 2014 년 4 월 14 일 이 블로그에 기사 에서 모바일 앱도 Heartbleed 취약점의 영향을받는 것을 공개했습니다. 이것은 모바일 앱이 취약점을 안고있는 서버에 연결할 수 있기 때문입니다. 그러나 모바일 앱 자체도 번들 된 OpenSSL 라이브러리는이 취약점의 영향을받는 것 같습니다.

■ Android 4.1.1이나 특정 모바일 앱에 탑재 된 OpenSSL 라이브러리에 취약한
Microsoft는 OpenSSL을 탑재 한 Android 단말에도 Heartbleed의 영향을받는 것은 Android 4.1.1 버전 만하는 정보 를 얻고 있습니다. 이 버전을 탑재 한 모바일 기기라면 OpenSSL이 설치된 모든 앱이 취약점의 영향을받습니다. OpenSSL을 이용하여 SSL / TLS 연결이 취약점의 영향을받은 앱은 단말기의 메모리에서 정보를 수집하기 위해 납치 될 수 있습니다.

그러나 해당 버전을 탑재하지 않는 모바일 단말에서도 앱 자체에 문제가 있습니다. Microsoft는 Google의 공식 앱 스토어 인 'Google Play'의 273의 앱이 취약점의 영향을받는 독립 OpenSSL 라이브러리가 번들되어 있는지 확인했습니다. 즉, 어떤 모바일 단말기에서도 이러한 응용 프로그램은 영향을받을 수 있습니다.

이러한 273의 앱 목록에는 작년 인기를 얻은 게임이나 VPN 클라이언트, 보안 제품, 최다 플레이어, 메신저, VOIP 전화 등 많은 응용 프로그램이 포함되어 있습니다. 아시다시피, OpenSSL 라이브러리는 응용 프로그램의 안정적인 통신을 위해 사용됩니다. 많은 앱이 주요 개발 기업입니다. 저희는 또한 Google 애플리케이션의 이전 버전에서이 취약점을 확인하고 있습니다.

그림 1 : "Heartbleed"취약점을 안고 앱 인기 앱도 그 대상에

이러한 응용 프로그램은 그림 2-3과 같이 취약점을 안고있는 OpenSSL 라이브러리에 정적으로 링크합니다.

그림 2 : 취약점을 안고있는 OpenSSL 라이브러리

그림 3 : 취약점을 안고있는 OpenSSL 라이브러리

앱의 대상이 무단으로 원격 서버 인 경우, 사용자 측에서 Heartbleed 취약점을 이용한 공격이 가능합니다. 이러한 공격은 물론 사용자의 단말기에서 메모리를 사이버 범죄자에 처하게됩니다. 메모리는 로컬에 저장된 응용 프로그램의 중요한 정보가 포함되어있을 수 있습니다. 취약점을 안고 VPN 클라이언트와 VOIP 응용 프로그램에서 잘못된 서비스에 연결 한 경우 개인 키 및 기타 인증 정보가 수집 될 우려가 있으며, 사이버 범죄자들은​​ 자신의 신원을 사칭 해 악용 할 수 있습니다 .

앱 개발자는 OpenSSL 라이브러리의 업데이트를 신속하게 실시하고 사용자에게 공개하는 것이 좋습니다. 일반 사용자가 원격 서버가 안전 앱 개발자의 평가가 높고 신뢰할 수있는 곳이라도 당신의 모바일 단말기에서 정보가 유출 될 수 있다는 사실을 명심하라 . 또한 핫픽스가 공개되면 곧바로 앱을 업데이트하십시오. Google은 현재 영향을받은 Android 버전에 대한 패치 정보를 제공합니다. 당신의 모바일 단말기의 업데이트를 사용할 수 있는지 여부도 알아 보도록하십시오.

저희도 앱 취약점 유무를 확인할 수있는 도구를 곧 만듭니다.

■ 취약점 "Heartbleed"를 안고있는 서버에 연결하는 응용 프로그램에 대한 업데이트 정보
당사는 취약점을 안고있는 서버에 연결하는 모바일 앱 대해 공개 한 후에도 모니터링을 계속하고있었습니다. 감시하고 있던 시점에서 7,000 무슨 앱이 Heartbleed 취약점을 안고있는 서버에 연결되어 있는지 확인했지만 최근 검증도 아직도 약 6,000의 앱이 영향을 받음. 그림 4는 Heartbleed의 영향을 받고있는 앱의 유형별 분포입니다.

그림 4 : Heartbleed의 영향을받는 응용 프로그램의 유형별 분포

여기에서 우리가 중요하다고 생각 앱의 유형에 대해 설명합니다. 사용자의 개인 정보를 서버에 저장하고 사용자가 앱을 이용하여 그 정보가 유출 될 수있는 종류의 응용 프로그램입니다. 큰 비중을 차지하고있는 것은 생활 관련 앱입니다. 이러한 응용 프로그램은 식품에서 생활 잡화, 서적, 의류, 가구 주문에서 쿠폰 발행까지 다양한 것을 취급하고 있습니다. 즉, 예를 들어, 취약점의 영향을받는 응용 프로그램에서 식품과 생필품을 주문하는 경우 사용자의 인증 정보와 집 주소, 최악의 경우에는 신용 카드 정보까지 유출 될 수 있다는 수 있습니다.

당사는 본건과 관련하여 이미 Google에 신고를하고 있습니다.

참고 기사 :

" Bundled OpenSSL Library Also Makes Apps and Android 4.1.1 Vulnerable to Heartbleed " 
by Veo Zhang (Mobile Threats Analyst)

추천 정보 :

" 취약점 "Heartbleed"모바일 앱에도 영향 "

" 취약점 "Heartbleed"최고 100 만 도메인에서 선별 된 TLD의 5 %에 영향 "

" "OpenSSL"심각한 취약점 "Heartbleed"가 발각 확장 "Heartbeat"존재 "