미국 보안 기업 "Bluebox"연구팀 "Bluebox Labs"는 2014 년 7 월 29 일 (미국 시간), 무단 응용 프로그램을 정규 앱으로 위장 할 수있는 취약점을 발견했다고보고했습니다. "Fake ID '로 불리는이 취약점은 응용 프로그램이 정품임을 증명하는 인증서의 확인에 관계하고 있습니다. 이 취약점에 특히주의해야 할 점은 Android 버전 2.1 (Eclair)에서 버전 4.4 (KitKat)까지 플랫폼을 탑재 한 모든 Android 단말기에 영향을 미칠 것입니다.
■ 인증서와 서명
설치하는 Android 단말 용 응용 프로그램은 공개 발표 전에 "서명"할 수 있어야합니다. 응용 프로그램에 "서명"하기 위해서는 인증서를 사용합니다. SSL 인증서 뿐만 아니라 Android 단말 용 응용 프로그램 인증서는 신뢰할 수있는 인증 기관에서 발급합니다. 이 인증서는 Android가 앱을 식별하기위한 "패키지 서명」로서 사용됩니다. 이 서명은 앱을 출시 한 후 수정의 무결성을 보장하고 공격자의 가짜 핫픽스에 의한 훼손을 방지합니다.
Android는 이러한 서명을 어떻게 할당할까요? Android 단말에 설치된 모든 응용 프로그램은 응용 프로그램의 모든 정보를 모은 'PackageInfo "라는 클래스가 만들어집니다. "PackageInfo"에는 "signatures"라는 속성이 포함되어 있으며 응용에 중요한 역할을 담당하고 있습니다. 같은 "signatures"이 경우 앱 업데이트 패키지로 다른 응용 프로그램이 인식되고, 2 개의 응용 프로그램이 동일한 구조를 가지고있는 것으로서 정보를 상호 공유 할 수 있습니다. 그리고 Android 소스 코드에 하드 코드 된 서명과 응용 프로그램의 속성 "signatures"의 서명을 비교하고 Android가 앱에 권한을 부여할지 여부를 결정 할 수있는 특별한 경우가 몇 가지 있습니다.
"Bluebox Labs」에서는,이 서명 시스템이 어떻게 작동하는지 두 가지 예에서 보여주었습니다. 하나는 "근거리 무선 통신 (NFC) '관련 파일을 지정한 서명이있는 급여 관련 응용 프로그램입니다. 이 응용 프로그램은 NFC에 "보안 요소 (SE) '을 탑재 한 모바일 기기에 액세스 할 수있었습니다. 또 하나는 Adobe의 Flash 플러그인 등 webview의 플러그인으로 기능하는 응용 프로그램입니다. 이 응용 프로그램은 Adobe의 서명이있었습니다.
■ 인증서 체인의 결함
앱이 Android 단말기에 설치되면 Android 플랫폼은 응용 인증서 파일을 사용하여 인증서 체인을 만들고 "PackageInfo"의 "signatures"을 만듭니다 . 그러나이 취약점으로 인한 Android 인증서 체인의 신뢰성을 검증하지 않고 서명 인증서 "보유자 (Subject)"와 "발행 기관 (Issuer)"의 일치를보기 위해서만 유지됩니다. 불행히도, Subject 및 Issuer 평문 문자열 타입으로되어 있으며, 잘못된 사용자는 이러한 정보를 쉽게 위조 할 수 있습니다.
■ 취약점을 이용한 공격
이 취약점은 응용 프로그램의 "신뢰성"에 관계하고 있기 때문에 사이버 범죄자는 악성 응용 프로그램을 작성하고 의심하지 않고 개인 정보에 액세스 할 수 수 있습니다. 예를 들어, NFC 관련 급여는 종종 'Google Wallet'가 사용됩니다. 만약 잘못된 응용 프로그램에 NFC 권한이 부여 된 경우이 잘못된 응용 프로그램은 Google Wallet 계정 정보를 수집하고 지정된 수취인 계정을 변경하여 사용자로부터 금전을 절취 할 수 있습니다 .
또한 WebKit 플러그인 관련 권한과 필요한 서명을 잘못된 응용 프로그램이 있던 경우 앱이 특권을 악용 할 수 있습니다. 이 응용 프로그램은 사용자가 브라우저 응용 프로그램을 사용하여 Web 사이트를 열람하거나 webview의 구성 요소를 필요로하는 응용 프로그램을 사용할 때마다 WebKit 플러그인의 프로세스로 자동으로 실행됩니다. 이 잘못된 응용 프로그램은 브라우저 또는 webview를 사용하는 응용 프로그램에서 구성 요소 프로세스로 작용하기 때문에 응용 프로그램의 정보를 거의 완벽하게 관리 할 수 있습니다. 그리고 사용자의 개인 정보와 은행 계좌, E 메일 정보 등 관련된 모든 정보에 액세스하여 송출하고 조작 할 수 있습니다.
■ Android 사용자의 대다수에 영향
전술 한 바와 같이, 업데이트가 적용되지 않은 각 제조업체 기업의 Android 단말이 취약점의 영향을받습니다. Google에 따르면, 2014 년 8 월 현재 전체 Android 단말의 약 82 % 에 "Fake ID '의 영향을받는 플랫폼이 탑재되어 있습니다. 영향을받는 Android 사용자 수는 지난해 확인 된 취약점 " 마스터 키 "에 영향을받은 사용자 수에 필적합니다.
Google은이 취약점에 대한 패치를 이미 공개하고 있습니다. 그러나 Android는 OS 업데이트가 단말 벤더에 의존하기 때문에 발생 "OS 조각"문제가 모든 사용자의 Android 단말이 즉시이 취약점으로부터 보호되는 것은 아닙니다. 자신의 단말기에 적용 가능한 업데이트 버전이 제공되면 사용자는 Android 단말 버전을 업데이트하십시오.
또한 Google은 다음과 같이 발표 합니다. "Google은 공식 앱 스토어"Google Play "에 제출 된 모든 iPad, 또한 Google Play 이외 앱 스토어에서 앱에서 Google가 검증 한 응용 프로그램에서 (중략) 취약점을 이용한 공격이 있던 증거는 발견되지 않습니다 "
트렌드 마이크로는 사용자를 보호하기 위해 취약점을 이용한 수있는 위협이나 공격을 감시하고 있습니다. 당사의 제품을 이용하는 고객은 " 바이러스 버스터 모바일 for Android」 「Trend Micro Mobile Security」에 의해 지켜지고 있습니다. 이 취약점을 이용한 응용 프로그램은 " ANDROIDOS_FAKEID.A "로 감지됩니다.
협력 저자 : Veo Zhang
참고 기사 :
by Simon Huang (Mobile Security Engineer)
'Security_News > 해외보안소식' 카테고리의 다른 글
| 美 슈퍼마켓회사 POS 공격받아 (0) | 2014.08.20 |
|---|---|
| 미국 핵발전 규제위원회 컴퓨터 뚫려 (0) | 2014.08.20 |
| 中, 안드로이드 하트앱 악성코드 제작 용의자 체포 (0) | 2014.08.17 |
| 은행상대 온라인 절도된 자금 반환 소송제기 (0) | 2014.08.17 |
| 대부분회사, 사고대응역량 부족 (0) | 2014.08.17 |