안드로이드는 모바일 광고 또는 피싱 팝업을 허용할 수 있습니다.

연구자들에 따르면 개발자는 안드로이드의 설계 결함을 통해 성가신 팝업 광고나 피싱 공격을 모바일 앱에 몰래 숨길 수 있습니다.

라스베이거스– 범죄자들이 피싱을 통해 데이터를 훔치거나 광고주가 휴대폰에 성가신 팝업 광고를 표시하는 데 사용할 수 있는 안드로이드의 설계 결함을 발견했다고 연구원들이 밝혔습니다.

개발자는 무해한 것처럼 보이지만 사용자가 합법적인 은행 앱을 사용할 때 가짜 은행 앱 로그인 페이지를 표시할 수 있는 앱을 만들 수 있다고 Trustwave의 수석 부사장이자 스파이더랩 책임자인 니콜라스 퍼코코는 오늘 DefCon 해커 컨퍼런스에서 연구 결과를 발표하기 전에 말했습니다.

현재 다른 앱을 보고 있는 동안 사용자와 통신하려는 앱은 화면 상단의 알림 표시줄에 알림을 푸시하기만 하면 됩니다. 하지만 안드로이드의 소프트웨어 개발 키트에는 특정 앱을 전면에 내세우는 데 사용할 수 있는 애플리케이션 프로그래밍 인터페이스가 있다고 그는 말했습니다.

“Android에서는 뒤로 가기 버튼을 누르는 표준을 재정의할 수 있습니다.”라고 Trustwave의 SSL(보안 소켓 계층) 개발자인 Sean Schulte는 말합니다.

퍼코코는 “이 때문에 앱이 포커스를 훔칠 수 있고 사용자가 뒤로 버튼을 눌러 종료할 수 없습니다.”라고 말하며, 이 문제를 포커스 훔치기 취약점이라고 명명했다고 덧붙였습니다.

연구원들은 게임인 동시에 Facebook, Amazon, Google 보이스 및 Google 이메일 클라이언트에 대한 가짜 디스플레이를 트리거하는 개념 증명 도구를 만들었습니다. 이 도구는 합법적인 앱 내부에 페이로드의 일부로 설치되고 서비스로 등록되어 휴대폰이 재부팅된 후 다시 실행된다고 Percoco는 설명합니다.

사용자가 앱을 열고 Facebook 로그인 화면을 보는 데모에서, 많은 사용자가 눈치채지 못할 정도로 빠르게 화면이 깜박이는 것만으로 이상한 일이 발생했음을 알 수 있습니다. 가짜 화면이 정상 화면을 완전히 대체하기 때문에 사용자는 어떤 것이 잘못되었다는 것을 알 수 없습니다.

퍼코코는 이러한 디자인 결함을 통해 게임이나 앱 개발자가 타겟팅 팝업 광고를 만들 수 있다고 설명합니다. 이 광고는 대부분의 팝업 광고처럼 단순히 성가신 광고일 수도 있지만, 경쟁사 앱을 사용할 때 광고를 팝업하도록 타겟팅할 수도 있다고 그는 덧붙였습니다.

작년 데프콘에서 크리스찬 파파타나시오와 함께 안드로이드 루트킷을 시연했던 퍼코코는 “이제 화면에서 서로 싸우는 광고의 세계가 가능해졌습니다.”라고 말합니다.

슐테에 따르면 이 기능은 앱이 활동 서비스라는 이름으로 휴대폰 상태를 확인하는 합법적인 기능이기 때문에 사용자가 앱을 다운로드할 때 표시되는 권한에 적신호가 켜지지 않습니다.

퍼코코는 연구원들이 몇 주 전에 구글의 한 관계자와 이번 연구 결과에 대해 이야기를 나눴으며, 그 관계자가 문제가 있다는 사실을 인정하고 이를 사용하는 합법적인 앱의 기능을 손상시키지 않으면서 문제를 해결할 수 있는 방법을 찾고 있다고 말했다고 전했습니다.

논평을 요청하자 구글 담당자는 이 문제를 조사하겠다고 말했습니다.

2011년 8월 8일 오후 3시 50분 업데이트. PT 구글 대변인은 다음과 같이 설명했습니다: “애플리케이션 간 전환은 애플리케이션 간의 풍부한 상호 작용을 장려하기 위해 많은 애플리케이션에서 사용하는 바람직한 기능입니다. Android 마켓에서 이 기법을 악의적으로 사용하는 앱을 본 적이 없으며, 이 기법을 사용하는 앱은 모두 삭제할 것입니다.”

구글 대변인은 또한 해당 기능이 어떻게 사용되는지에 대한 예로 CNET에 Visidon의 AppLock을 소개했습니다. 이 앱은 얼굴 인식 기술을 사용하여 Gmail 앱과 같은 휴대폰의 일부에 무단으로 액세스하는 것을 방지합니다. 이 예시의 취약점에 설명된 기능을 합법적으로 사용하면 앱락의 비밀번호 요청 인터페이스를 탭할 때 지메일의 비밀번호 요청 인터페이스로 넘어가게 됩니다. AppLock은 사용자의 얼굴을 비밀번호로 사용하기 때문에, 슬라이드하면 사용자의 얼굴이 승인된 비밀번호로 인식된 다음 슬라이드가 사라집니다.

2011년 8월 8일 오후 7시 40분에 업데이트되었습니다. PT 구글의 성명에 대한 퍼코코의 답변: “애플리케이션 전환이 문제가 아닙니다. 진짜 문제는 다른 앱이 어떤 앱이 포그라운드에 있는지 식별한 다음 사용자가 권한을 부여하지 않고 실행 중인 앱 앞으로 이동하는 기능입니다. 또한 사용자가 악성 앱으로 신고하기 전까지는 두 앱이 거의 동일하게 보이기 때문에 악성 앱과 정상 앱의 차이를 어떻게 판단할 수 있는지 알 수 없습니다. ‘악성 앱으로 신고될 때까지 기다렸다가 삭제한다’는 입장은 위험하며, 공격자가 Google이 앱을 식별하고 마켓에서 삭제하는 것보다 훨씬 빠르게 앱을 게시할 수 있기 때문에 무의미한 노력으로 판명될 가능성이 높습니다.”라고 설명했습니다.

이 보고서에는 CNET의 세스 로젠블랫이 기여했습니다.

Source: https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/