상세 컨텐츠

본문 제목

마스터 비밀번호, 비밀 액세스 키, 비밀 명령어를 포함하고 있는 안드로이드 앱 12,000개 이상 발견

국내외 보안동향

by 알약(Alyac) 2020. 4. 6. 09:06

본문

12k+ Android apps contain master passwords, secret access keys, secret commands


이번 주 발표된 연구 결과에 따르면, 안드로이드 애플리케이션 12,700개 이상에서 비밀 액세스 키, 마스터 비밀번호, 비밀 명령어 등 숨겨진 백도어가 포함되어 있는 것으로 나타났습니다.


유럽과 미국의 학자들은 이 숨겨진 행동을 발견하기 위해 InputScope라 명명된 커스텀 툴을 개발해 안드로이드 애플리케이션 15만 개에서 발견한 입력 양식 필드를 분석했습니다.


더 구체적으로는 플레이 스토어 앱의 상위 앱 10만개(설치 수 기준), 써드파티 앱 스토어의 상위 앱 20만개, 삼성 휴대기기에 선탑재된 앱 3만개 이상을 분석했습니다.


연구팀은 “평가를 통해 꽤 우려스러운 상황을 발견했습니다. 비밀 액세스 키, 마스터 패스워드, 비밀 명령어 등 다양한 백도어를 포함하고 있는 앱 12,706개를 발견했습니다.”라 밝혔습니다.


연구원들은 숨겨진 백도어 메커니즘으로 인해 공격자가 사용자의 계정에 무단으로 액세스 할 수 있다고 밝혔습니다. 게다가, 공격자가 기기에 물리적으로 접근할 수 있고 이 앱들 중 하나가 설치된 상태일 경우 공격자는 전화 기기에 대한 접근 권한을 얻거나 기기에서 상승된 권한으로 코드를 실행할 수 있게 됩니다. (앱의 입력 필드에 존재하는 비밀 명령어로 인함)



숨겨진 백도어 메커니즘을 사용하는 샘플 일부


“여러 모바일 앱을 수동으로 조사한 결과, 인기있는 한 원격 제어 앱 (1,000만 회 설치)에 기기를 분실했을 때 주인이 원격으로 잠긴 폰을 잠금 해제할 수 있는 마스터 패스워드가 포함된 것을 발견했습니다.”


“또한 인기있는 화면 잠금 앱 (500만회 설치) 또한 화면 잠금을 해제하고 시스템에 들어가기 위해 액세스 키를 사용하여 임의 사용자의 패스워드를 리셋할 수 있는 것으로 나타났습니다.”


“인기있는 라이브 스트리밍 앱 (500만회 설치)은 관리자 인터페이스로 들어갈 수 있는 액세스 키를 포함하고 있었으며, 이를 통해 앱을 재구성하고 추가 기능을 잠금 해제할 수 있었습니다.


“마지막으로, 인기있는 한 번역 앱(100만회 설치)은 광고 제거 등 유료 서비스에 대한 비용 지불을 우회할 수 있는 비밀 키를 포함하고 있었습니다.”


일부 이슈는 사용자의 안전과 기기 내 데이터에 명백한 위험을 초래하는 반면, 일부는 해를 끼치지 않는 이스터에그나 제작 시 실수로 들어간 디버깅 기능이었습니다.


연구원들은 숨겨진 백도어/기능을 포함하는 앱을 플레이 스토어에서 6,800개 이상, 써드파티 스토어에서 1,000개 이상, 삼성 기기에 선탑재되어 출시되는 앱 약 4,800개를 추가로 발견했다고 밝혔습니다.


<이미지 출처: https://panda.moyix.net/~moyix/papers/inputscope_oakland20.pdf>


연구 팀은 모든 앱의 개발자에게 숨겨진 행동 또는 유사 백도어 메커니즘을 발견했다고 알렸으나, 모든 개발자가 응답하지는 않았습니다.


그 결과, 연구 논문에서 예로 든 앱 중 일부는 사용자를 보호하기 위해 앱의 이름을 논문에서 삭제했습니다.


이 연구에 대한 추가 정보는 오하이오 주립대학교, 뉴욕 대학교 및 독일의 정보 보안 CISPA Helmholtz 센터 연구원들이 발행한 과학 논문인 "Automatic Uncovering of Hidden Behaviors From Input Validation in Mobile Apps,"에서 찾아볼 수 있습니다.


InputScore 도구가 안드로이드 앱 내 입력 필드를 분석했기 때문에, 연구원들은 어떤 앱이 악의적 단어 필터링 목록을 숨기고 있는지, 정치적 동기로 인한 블랙리스트를 사용하고 있는지도 알아낼 수 있었습니다. 연구원들은 입력 시 단어 필터링 목록을 포함하는 안드로이드 앱 4,023건을 발견했다고 밝혔습니다.





출처 :


관련글 더보기

댓글 영역