0xNews - 23개 안드로이드앱에서 1억명 이상 개인 사용자 정보 노출
0xNews - 23개 안드로이드앱에서 1억명 이상 개인 사용자 정보 노출 Information Leak
Checkpoint 발표
안드로이드 Android 앱의 잘못된 구성으로 인해 1억명 이상 사용자의 민감 정보가 유출된 것으로 판단
클라우드 서비스를 구성하고 애플리케이션에 통합할 때 모범 사례 best-practices 를 따르지 않음
이런 문제는 사용자 정보 노출과 개발자 관련 정보도 남아 있음
잘못된 구성과 설정 등으로 인해 사용자의 개인 정보와 개발자의 내부 리소스(업데이트 메커니즘이나 저장소 정보나 접속 정보 등)가 노출되어 위험에 처해질 수 있음
Checkpoint 는 구글 플레이 스토어에 등록된 앱 중에서 23개 안드로이드 애플리케이션에 대한 연구 진행
대상이 된 앱 Astro Guru, iFax, Logo Maker, Screen Recorder, T'Leva 등의 앱은 최소 1만에서 1천만회에 이르는 다운로드를 기록
이번 문제는 실시간 데이터베이스, 푸시 알림, 클라우드 스토리지 키를 잘못 구성
이메일, 전화번호, 채팅 메시지, 위치 정보, 비밀번호, 백업, 브라우저 히스토리, 사진 등이 유출되는 결과 발생
분석 결과 인증 장벽 authentication barriers 뒤에 있는 데이터베이스를 보호하지 않음
앙골라 택시 앱인 T'Leva 은 이로 인해 서버와 클라이언트에서 교환되는 메시지는 물론 사용자의 이름, 전화번호, 목적지 등의 사용자 정보 유출로 이어짐
또한 앱 개발자가 푸시 알림을 전송 후 앱에 직접 클라우드 스토리지 서비스에 접속하는데 필요한 키를 내장하고 있음을 확인
해당 정보를 얻게되는 악의적인 사용자라면 개발자를 대신하여 모든 사용자에게 허위 알림 전송 가능
혹은 의심하지 않은 일반 사용자를 대상으로 피싱 페이지 등으로 유도하는 공격에도 이용할 수 있는 위험한 상황 발생
클라우드 스토리지 액세스 키를 앱에 내장하면 다른 공격에 대한 시발점이 될 수 있음
Screen Recorder와 iFax 등 두 앱은 해당 문제점을 가지고 있으며 이 경우 공격자가 클라우드에 저장된 모든 데이터 획득 가능
이를 통해 화면 녹화나 팩스 문서 등에 대한 접속 가능
이번 연구는 결국 유출된 정보를 취합한 공격자가 도용, 피싱 등의 공격 정보로 활용한다면 사용자에 취약해 질 수 밖에 없음
개발자의 보안의식과 함께 핵심 정보 사용의 문제점 여부에 대한 판단을 다시 한번 점검해야 함
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.