KO
서비스 핫라인
보안 연구원이 Google 모바일 운영 체제의 보안 문제를 입증하기 위해 개념 증명 앱을 발표했습니다.
안드로이드의 느슨한 앱 정책으로 인해 구글의 모바일 운영 체제는 안전하지 않다는 비판을 받아왔습니다.
하지만 이제는 권한이 없는 앱이 중요한 개인 정보에 무단으로 액세스하여 새로운 위협을 가하는 것으로 보입니다. 리바이어던 보안 그룹의 연구원 폴 브로더는 이번 주 초 블로그 게시물에서 ‘권한 없음’ 앱이 여전히 디바이스의 SD 카드, 핸드셋 식별 데이터 및 다른 앱이 저장한 파일에 액세스할 수 있음을 입증하기 위해 개념 증명을 만들었다고 설명했습니다.
Brodeur의 앱은 SD 카드에서 사진, 백업 및 외부 구성 파일을 포함하여 숨겨져 있지 않은 모든 파일 목록을 생성했습니다. Brodeur는 자신의 기기 SD 카드에 OpenVPN 인증서가 저장되어 있는 것을 발견했다고 말했습니다.
“모든 파일의 내용을 가져올 수는 있지만, 어떤 파일을 가져와야 하고 어떤 파일이 지루할지 결정하는 것은 다른 사람에게 맡기겠습니다.”라고 그는 말했습니다.
그런 다음 디바이스에 앱이 설치된 /data/system/packages.list 파일을 가져와 디렉터리를 스캔하여 해당 디렉터리에서 민감한 정보를 읽을 수 있는지 확인했습니다. 테스트 중에 다른 앱에 있는 일부 파일을 읽을 수 있었다고 합니다. “이 기능은 작년에 Skype에서 보고된 것과 같이 권한이 약한 취약점이 있는 앱을 찾는 데 사용할 수 있습니다.”라고 그는 말합니다.
마지막으로 Brodeur의 앱은 핸드셋의 식별 정보를 수집할 수 있었습니다. “PHONE_STATE” 권한이 없으면 애플리케이션이 기기의 국제 모바일 장비 식별 정보 또는 국제 모바일 가입자 식별 정보를 읽을 수 없습니다. 그러나 글로벌 모바일 통신 시스템 정보 및 SIM 공급업체 ID는 여전히 읽을 수 있습니다.
“이 앱은 위에서 설명한 세 가지 작업을 활성화하기 위해 버튼을 사용하지만, 설치된 모든 앱에서 사용자 상호 작용 없이 이러한 작업을 실행하는 것은 사소한 일입니다.”라고 그는 썼습니다.
브로더는 안드로이드 4.0.3 아이스크림 샌드위치와 안드로이드 2.3.5 진저브레드에서 앱을 테스트했다고 밝혔습니다.
출처: https://news.cnet.com/8301-1009_3-57412799-83/android-gives-no-permissions-apps-access-to-sensitive-info/
