상세 컨텐츠

본문 제목

안드로이드 앱 23개, 1억 이상 사용자의 개인 데이터 노출시켜

국내외 보안동향

by 알약4 2021. 5. 21. 09:00

본문

 

 

23 Android Apps Expose Over 100,000,000 Users' Personal Data

 

안드로이드 앱 다수의 잘못된 구성으로 인해 1억 명이 넘는 사용자의 민감 데이터가 유출되어 악성 공격자가 금전적 이익을 얻는데 악용될 수 있는 것으로 나타났습니다.

 

Check Point의 연구원들은 금일 발표한 분석문을 통해 아래와 같이 밝혔습니다.

 

타사 클라우드 서비스를 애플리케이션 내에 구성 및 통합할 때 모범 사례를 따르지 않아 사용자 수백만 명의 개인 데이터가 노출되었습니다. 일부의 경우 이러한 오용은 사용자에게만 영향을 미치지만, 개발자 또한 이에 취약할 수 있습니다. 잘못된 구성으로 인해 사용자의 개인 데이터와 개발자의 업데이트 메커니즘, 저장소 등 내부 리소스 등이 노출 위험에 처하게 됩니다.”

 

이번 조사 결과는 공식 구글플레이 스토어에서 제공된 안드로이드 애플리케이션 23개에 대한 연구 결과이며, 그 중 일부는 Astro Guru, iFax, Logo Maker, Screen Recorder, T'Leva와 같이 다운로드 수가 1만에서 1천 만에 달했습니다.

 

Check Point에 따르면, 이 문제는 실시간 데이터베이스, 푸시 알림, 클라우드 스토리지 키를 잘못 구성해 이메일, 전화번호, 채팅 메시지, 위치, 비밀번호, 백업, 브라우저 히스토리 및 사진이 유출되는 결과가 발생했습니다.

 

 

<이미지 출처 : https://research.checkpoint.com/2021/mobile-app-developers-misconfiguration-of-third-party-services-leave-personal-data-of-over-100-million-exposed/>

 

 

연구원들은 인증 장벽 뒤쪽의 데이터베이스를 보호하지 않았기 때문에 운전자와 승객 간 전송된 메시지, 승객의 성명, 전화번호, 목적지, 탑승 위치 등 앙골라의 택시 앱인 T'Leva의 사용자 데이터를 얻어낼 수 있었다고 설명했습니다.

 

또한 연구원들은 앱 개발자가 푸시 알림을 전송하고, 클라우드 스토리지 서비스에 접속하는데 필요한 키가 앱에 직접적으로 내장되어 있음을 발견했습니다. 이를 통해 악성 공격자가 개발자를 대신해 모든 사용자에게 악성 알림을 쉽게 보낼 수 있게 되며, 주의가 부족한 사용자를 피싱 페이지로 유도하는데 악용될 수 있기 때문에 보다 정교한 위협의 진입점으로 사용될 수 있다고 설명했습니다.

 

 

<이미지 출처 : https://research.checkpoint.com/2021/mobile-app-developers-misconfiguration-of-third-party-services-leave-personal-data-of-over-100-million-exposed/>

 

 

마찬가지로 클라우드 스토리지 접근 키를 앱에 내장할 경우 공격자가 클라우드 내 저장된 모든 데이터에 접근이 가능해 다른 공격으로 이어질 수 있습니다. 이는 Screen RecorderiFax 앱에서 관찰된 행동으로 연구원들이 스크린 녹화 및 팩스 문서에 접근이 가능했습니다.

 

연구원들은 이 앱들 중 일부만이 제보를 받은 후 구성을 변경했다고 설명했습니다. 따라서 다른 앱의 사용자들은 여전히 사기, 신원 도용과 같은 위험에 노출되어 있으며 훔친 비밀번호를 통해 다른 계정에 접근하는 등의 공격을 받을 수 있습니다.

 

 

<이미지 출처 : https://research.checkpoint.com/2021/mobile-app-developers-misconfiguration-of-third-party-services-leave-personal-data-of-over-100-million-exposed/>

 

 

 

 

 

출처:

https://thehackernews.com/2021/05/these-23-android-apps-expose-over.html

https://research.checkpoint.com/2021/mobile-app-developers-misconfiguration-of-third-party-services-leave-personal-data-of-over-100-million-exposed/

관련글 더보기