PGR21.com
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
Date 2022/12/05 12:21:46
Name Regentag
Link #1 https://news.hada.io/topic?id=7956
Subject [일반] 삼성 안드로이드의 앱 서명키가 유출되어 멀웨어에 사용 (수정됨)
삼성 안드로이드의 앱 서명키가 유출되어 멀웨어에 사용되었다는 주장이 나왔습니다.
https://news.hada.io/topic?id=7956
====

• 개발자의 암호화 서명 키는 안드로이드 보안의 핵심요소
• 구글 안드로이드 보안팀에서 올린 글에 유출된 키들에 대한 설명이 있는데, 일부 키가 삼성/LG/Mediatek 소유의 키임
• 심지어 이 키들은 "플랫폼 인증서 키" 라서 거의 루트 접근에 가까움
  - 시스템에 "android" 앱을 인증하는데 사용 하는 키임
  - 이 "android" 앱은 권한이 높은 사용자 ID인 "android.uid.system" 으로 실행되어 사용자 데이터 액세스 권한 및 시스템 권한을 보유함
  - 이 인증서로 서명된 모든 앱은 안드로이드 OS에 대해서 같은 수준의 권한으로 실행이 가능

• 유출된 삼성의 키는 삼성페이, 빅스비, 전화 앱 등 약 101개에 이르는 페이지에 있는 수백개의 앱들에 사용되었음
• 심지어 삼성은 오늘까지도 해당 키를 교체 하지 않았음
• 얘기가 더 이상한 것은, APKMirror 설립자가 말하길 VirusTotal에서 해당 키로 서명한 멀웨어는 2016년 것이라는 것
====

앱 서명(코드 서명)은 어떤 실행파일에 인증서로 “서명”하여 이 프로그램이 올바른 개발자(기업)가 배포한 것임을 인증하고, 체크섬을 활용하여 변조가 없음을(무결성) 보장할수 있게 하는 것입니다.
https://ko.m.wikipedia.org/wiki/코드_서명

즉 단말기에서는 삼성의 인증서로 서명된 앱은 삼성이 배포한 것이므로 믿어도 된다고 판단되는거죠.

국내에서 코드 서명 인증서의 유출사건은 간간히 있어왔고, 2016년 관련 대책이 논의된적이 있었던 것 같습니다.
[보안SW 코드서명 인증서 유출 사고 경험담 : 시사점과 대응책은 무엇?] (이유지 | 2016년 4월 29일)
https://byline.network/2016/04/1-137/

한국전자인증은 유출방지 캠페인도 하고 있네요.
[한국전자인증,코드사인 인증서 유출방지 캠페인 실시](2019년 August 8일)
https://cert.crosscert.com/한국전자인증코드사인-인증서-유출방지-캠페인-실/

캠페인의 방향은 “EV 인증서를 도입하라”인 것 같지만요. (EV 인증서는 발급 비용이 비쌉니다.)

한편, 이 문제에 대하여 질의하자 삼성은 다음과 같은 답을 보내왔다고 합니다.
"삼성은 갤럭시 기기의 보안을 중요하게 생각하며, 2016년부터 해당 문제를 인지하고 보안패치를 진행하였으며, 현재까지 해당 취약점과 관련된 보안 사고는 알려진 바 없습니다. 항상 소프트웨어 업데이트로 장치를 최신 상태로 유지하는것을 추천합니다."

통합규정 1.3 이용안내 인용

"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.
법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
아케이드
22/12/05 12:44
수정 아이콘
정말 요즘 삼성 왜 이럴까요...
22/12/05 12:45
수정 아이콘
애초에 키 관리를 저렇게 하면 EV 인증서 할애비가 와도 못박을탠대 말이죠 크크
삼성정도 되는 회사가 키 관리를 저렇게 허술하게 하는게 이해 안되네요.
22/12/05 13:03
수정 아이콘
아침에 보긴 했는데 생각이 많습니다.

저정도면 적어도 기존 기기는 몰라도 어느시점 이후 기기의 키는 바꾸든 뭘 했어야 하지않나 싶은데
똥진국
22/12/05 13:21
수정 아이콘
어느 순간부터 아무 생각이 없는 삼성이 되버렸군요
삼성이 누군가에게 약점을 잡힌건지 뭔가 자포자기한듯한 운영을 하는 모습입니다
이재용을 두들겨 패고 싶습니다
22/12/05 13:53
수정 아이콘
요즘 삼성은 혁신이 사라진 느낌은 있네요
내부적으론 치열하게 연구 하겠지만
페스티
22/12/05 14:06
수정 아이콘
한심한 모습만 보여주는 것을 보면 불안합니다
단비아빠
22/12/05 15:11
수정 아이콘
유출된 키를 사용했다는 그 멀웨어가 뭔지 이름조차 못밝히는 시점에서 신빙성이 팍 떨어지는데요..?
구지 못밝힐 이유가 하나도 없는데..??
조메론
22/12/05 15:14
수정 아이콘
동감해요.
기사도 그냥 주장일 뿐이고, 이걸로 삼성 욕할 일인가 싶네요.
타카이
22/12/05 15:37
수정 아이콘
구글 보안팀인 프로젝트 제로팀 발표를 바탕으로 하고 있습니다
현재 스파이웨어 업체에서 위 취약점으로 개발한 제품을 판매하고 있다는데 앱이 특정되면 더 확산될 수 있으니 그부분은 가릴 수 있죠
https://www.boannews.com/media/view.asp?idx=111467

제로데이 취약점이니 위험한 게 맞습니다
단비아빠
22/12/05 15:50
수정 아이콘
(수정됨) 멀웨어 이름이 특정된다고 해서 멀웨어가 더 확산될 이유는 하나도 없습니다
타카이
22/12/05 15:54
수정 아이콘
저의 짧은 생각으로 오프라인이 아닌 온라인 세상에서 범죄 툴 제작이 가능한 판매자가 알려지면
해당 제작자를 대상으로 한 의뢰가 늘 개연성이 있지 줄어들거라고는 생각되지 않네여
Regentag
22/12/05 15:56
수정 아이콘
“사인 키가 유출되었다”와 “유출된 키가 멀웨어에 사용되었다”는 2가지 주장이 나온 것인데, 일단 유출 자체는 사실인 것 같습니다. 삼성의 입장도 유출을 부정하진 않았고요.

다음 링크에서는 Google 엔지니어가 밝힌 멀웨어의 목록이 있긴 한데 어떤게 삼성의 유출된 키가 사용되었는지 명시하진 않았네요.
https://www.xda-developers.com/android-oem-key-leak-samsung-lg-mediatek/
도라지
22/12/05 17:54
수정 아이콘
그럼 인지한 즉시 업그레이드를 하라고 권고했어야 하는데, 이 건 관련해서는 권고사항을 못봤네요.
좀 특이한 대응이긴 하네요.
타츠야
22/12/05 17:12
수정 아이콘
삼성의 변명을 믿는다면 이미 배포된 모든 앱들의 서명키 변경을 하기 어려우니 해당 서명키로 signed 된거 외에 다른 보안 체크를 추가한 것으로 보이네요. 그리고 그 로직은 삼성이 커스터마이즈한 안드로이드 하위 레이어에서 동작하는 것 같고.(그래서 최신 SW로 업데이트를 유지하라고 코멘트)
처음엔 말이 안 된다 생각했지만 다른 한편으론 서명키라는게 100% 안전하게 보관된다는 보장은 아무도 할 수 없어서 (최근에 토요타도 GitHub에 몇 년동안 보안키를 보관...). 그리고 구글쪽에는 이미 노티가 되어서 구글 플레이스토어에서도 추가 조치를 한 걸로 보이구요.
타츠야
22/12/05 19:46
수정 아이콘
댓글 추가합니다.
오늘 뉴스로 NHN에서 운영중인 페이코도 서명키가 뚫렸네요.
'천만 페이코' 서명키 유출 넉달이나 뚫린 것 몰랐다
https://n.news.naver.com/article/009/0005055720
목록 삭게로! 맨위로
번호 제목 이름 날짜 조회 추천
97349 [일반] 나는 서울로 오고 싶지 않았어 [32] 토우13633 22/12/08 13633 19
97348 [일반] 예수천국 불신지옥은 성경적인가. [140] Taima16457 22/12/07 16457 15
97346 [일반] 자녀 대학 전공을 어떻게 선택하게 해야할까요? [116] 퀘이샤16519 22/12/07 16519 9
97345 [일반] 현금사용 선택권이 필요해진 시대 [101] 及時雨14427 22/12/07 14427 18
97344 [일반] 귀족의 품격 [51] lexicon15300 22/12/07 15300 22
97343 [일반] 글쓰기 버튼을 가볍게 [63] 아프로디지아10899 22/12/07 10899 44
97341 [일반] 아, 일기 그렇게 쓰는거 아닌데 [26] Fig.110623 22/12/07 10623 21
97340 [일반] 책상 위에 미니 꽃밭과 딸기밭 만들기 [16] 가라한9328 22/12/06 9328 12
97339 [일반] 커뮤니티 분석 글들의 한계 [68] kien.17072 22/12/06 17072 24
97338 [일반] 고품격 배우들의 느와르 수리남 감상문 [14] 원장10147 22/12/06 10147 1
97334 [일반] 출산율 제고를 위한 공동직장어린이집 확충 [58] 퀘이샤13164 22/12/06 13164 38
97333 [일반] 노동권이 한국사회를 말아먹는 메커니즘(feat 출산율) [148] darkhero18746 22/12/06 18746 36
97331 [일반] 지코의 새삥을 오케스트라로 만들어보았습니다. [2] 포졸작곡가8284 22/12/06 8284 6
97330 [일반] 아라가키 유이와 이시하라 사토미 [34] Valorant14145 22/12/06 14145 2
97329 [일반] '테라·루나 사태' 신현성 전 차이대표 영장 기각 [46] 타츠야17623 22/12/05 17623 0
97328 [일반] 건설현장에서의 노조 문제 [208] 퀘이샤23974 22/12/05 23974 75
97327 [일반] 아수스, 그래픽카드별 파워서플라이 용량 안내 [36] SAS Tony Parker 12336 22/12/05 12336 1
97326 [일반] 영천에 스타벅스가 들어옵니다(그외 3군데 추가) [80] SAS Tony Parker 15692 22/12/05 15692 2
97325 [일반] 철제궤도를 대체하는 고무궤도 [33] 어강됴리14459 22/12/05 14459 3
97323 [일반] 삼성 안드로이드의 앱 서명키가 유출되어 멀웨어에 사용 [15] Regentag12791 22/12/05 12791 0
97320 [일반] 재벌집 막내아들 8화 재밌었습니다. [43] Valorant13332 22/12/05 13332 2
97318 [일반] <<화엄경>>을 통해 보는 대승 불경에서 힌두 신들의 위치 [4] 자급률7998 22/12/04 7998 8
97317 [일반] [창작물] 천마들의 회동 < 각 내용의 스포 주의! > [4] 마신_이천상11016 22/12/04 11016 3
목록 이전 다음
댓글

+ : 최근 1시간내에 달린 댓글
+ : 최근 2시간내에 달린 댓글
맨 위로