상세 컨텐츠

본문 제목

[해외보안동향] LG 앱 업데이트 시 SSL 인증서 확인하지 않는 것으로 밝혀져

국내외 보안동향

by 알약(Alyac) 2015. 6. 30. 14:19

본문

LG 앱 업데이트 시 SSL 인증서 확인하지 않는 것으로 밝혀져

Researcher Says LG App Update Mechanism Doesn’t Verify SSL Cert


LG에서 제조된 수 많은 스마트폰에서 공격자들이 APK 파일을 악성 파일로 바꿔치기할 수 있는 취약점이 발견되었습니다. 


LG도 다른 제조사들과 같이 구글 플레이 스토어에서 다운이 불가능한 커스텀 앱들을 폰에 탑재하고 있습니다. 이 앱들은 스마트폰에 선 탑재되어 출시되며 새로운 코드를 다운로드 하기위해 LG 서버에 연결하는 독립된 업데이트 메커니즘을 가지고 있습니다. Search-Lab은 “새로운 앱이나 앱 업데이트들은 APK 파일 형태로 독립된 업데이트 채널로 설치되는데, 업데이트 시 사용자 확인을 거치지 않고 설치되므로 공격자가 이 기능을 악용하여 임의의 악성 앱을 설치할 수 있습니다. 이렇게 설치된 앱들은 모든 권한을 사용할 가능성이 크므로, 효과적으로 안드로이드의 보안 장치를 우회할 수 있을 것이라고 예상합니다.”라고 밝혔습니다.


LG폰의 업데이트는 업데이트 센터 앱을 통해 제어되며, lgcpm.com에 연결하여 새로운 업데이트를 실행합니다. 더불어 해당 앱은 자동으로 업데이트되도록 설정되어 있어, 공격자가 MITM 공격을 통해 연결을 은밀히 하이재킹한 후 타겟 앱을 악성 앱으로 바꿔치기할 수 있습니다. Search-Lab은 지난 11월 LG 측에 이 사실에 대해 제보했습니다. 그러나 LG 측에서는 새로운 스마트폰에만 해당 버그를 수정하였으며 이미 출시된 스마트폰의 버그는 수정하지 않을 것이라는 의견을 밝혔습니다. 또한 이미 출시된 스마트폰의 경우, 사용자가 임의로 '앱 자동 업데이트' 기능을 비활성화시킬 것을 권장했습니다.



출처:

https://threatpost.com/researcher-says-lg-app-update-mechanism-doesnt-verify-ssl-cert/113522




관련글 더보기

댓글 영역