본문 바로가기
Security_News/해외보안소식

"Evernote"의 Android 판 어플리케이션 결함을 수정

Ryansecurity 2014. 8. 8. 02:02
728x90

트렌드 마이크로는 2014 년 5 월 본 블로그에서 Android 단말 용 응용 프로그램의 결함 이 사용자 정보를 수집하거나 공격 시작에 이용 될 가능성이 있다고보고했습니다. 당사는 "Evernote"의 Android 판 어플리케이션이 문제가 있는지 확인했습니다. 당사는 Evernote에 내용을보고하고 Evernote는이 응용 프로그램의 Android 버전을 업데이트하는 것으로 대응했습니다. Evernote는 또한 Android 버전 "Evernote 5.8.5"에서 관리를 추가하고 사용자를 보호하고 있습니다. "Evernote 5.8.5"이전 버전을 사용하는 사용자는 최신 버전으로 업데이트하십시오.

■ "Content Providers '에 존재하는 결함
이번 수정 된 결함은 응용 프로그램 데이터를 저장하는 Android의 구성 요소에 관계가 있습니다. 이 구성 요소는 속성 "android : exported"을 가지고이 문제를 가진 응용 프로그램의 특정 정보를 다른 응용 프로그램이 읽고 쓰는 것을 허용합니다.

Evernote의 이전 버전은 두 가지 권한을 정의하여 사용자 정보의 거의 모든 저장하는 데 사용되는 "Content Providers"을 보호하고있었습니다. 그러나이 두 권한의 보호 수준이 "보통"으로 설정되어 있었기 때문에 터미널에서 다른 응용 프로그램에도이 두 가지 권한이 주어질 가능성이있었습니다.

그림 1 : Android 버전 Evernote의 "노트"
그림 1 : Android 버전 Evernote의 "노트"

그림 2 : "Content Providers"의 결함을 이용하여 표시된 "노트"
그림 2 : "Content Providers"의 결함을 이용하여 표시된 "노트"

사이버 범죄자들은​​ 악성 앱을 만들고 Evernote 앱에 저장된 정보를 절취하는 데 사용할 수 있습니다. Evernote를 이용하여 사용자 계정, 패스워드 등의 개인 정보를 저장하고있는 사용자의 경우이 문제는 정보 절취와 신분 사칭 등의 피해로 이어질 수 있습니다.

■ 다른 응용 프로그램에서 열람되는 암호화되지 않은 정보
상술 한 문제 외에 당사는 Android 단말에있는 Evernote의 모든 "노트"가 잘못된 응용 프로그램에서 볼 수있는 다른 문제도 확인 했습니다. 이것은 "노트"의 위치에 원인이 있습니다.

Evernote 응용 프로그램은 사용자의 모든 "노트북"을 "directory / sdcard / Android / data / con.evernote / files /"부분의 외부 저장 장치에 저장합니다. 불행히도,이 폴더에 저장되는 파일은 암호화되지 않고 다른 응용 프로그램에서도 읽을 수 있습니다.

그림 3 : Evernote의 「노트」의 예
그림 3 : Evernote의 「노트」의 예

그림 4 : SD 카드에 존재하는 결함을 이용하여 액세스 된 "노트"
그림 4 : SD 카드에 존재하는 결함을 이용하여 액세스 된 "노트"

Android 단말의 운영 체제 (OS) 버전에 따라 응용 프로그램이 액세스 할 수있는 수가 다릅니다. 예를 들어, Android 4.3 이전 버전에서는 앱이 SD 카드에 위의 폴더에 액세스하는 데 특별한 권한이 필요하지 않습니다. 하지만 Android 4.4 이상 버전에서는 권한 "READ_EXTERNAL_STORAG​​E"이 필요합니다. 그러나이 권한은 대부분의 응용 프로그램에서 공통으로 인해 잘못된 응용 프로그램이 권한을 요구해도 의심 할 것이다.

잘못된 사용자는 Evernote에 저장된 파일을 읽고 쓸 수있는 간단한 프로그램을 만들고 프로그램을 "READ_EXTERNAL_STORAG​​E"권한을 가진 일반 응용 프로그램에 삽입하여 리 팍크 수 있습니다. 그리고 리 팍크 응용 프로그램을 이용하여 사용자를 속여 공격자가 권한을 얻을 수 있습니다.

당사는이 외부 저장 장치에 잘못된 설정을하고있을 가능성이있는 개발자가 앱을 수정할 수 있도록 이번이 같은보고했습니다.중요한 구성 요소를 보호하기 위해 보호 수준 "signature"에서 권한을 정의하는 것이 좋습니다. 당사는 또한 응용 프로그램에 의해 생성, 처리, 전송되는 컨텐트는 암호화를 개발자에게 권장하고 있습니다. 가능하면 개인 정보는 외부 저장 장치에 저장하지 않는 것이 좋습니다.

당사는 이번 새로운 문제에 대해서도 Evernote에보고했습니다. 또한 당사는 2014 년 8 월 현재이 결함을 이용한 공격이 실행되고 있지 않은지 확인합니다.

참고 기사 :

  • Evernote Patches Vulnerability in Android App " 
    by Weichao Sun (Mobile Threats Analyst)


    • 728x90
    저작자표시 비영리 변경금지

    'Security_News > 해외보안소식' 카테고리의 다른 글

    Pwnie nominations  (0) 2014.08.08
    Free Service to Help CryptoLocker Victims by FireEye and Fox-IT  (0) 2014.08.08
    Previous Epic Turla – catching the reptile’s tail  (0) 2014.08.08
    위성 통신 시스템을 통한 해킹  (0) 2014.08.08
    MS, EMET 5.0 발표  (0) 2014.08.08

    'Security_News/해외보안소식' Related Articles

    티스토리툴바