|
:: 게시판
:: 이전 게시판
|
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
통합규정 1.3 이용안내 인용"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
22/12/05 12:45
애초에 키 관리를 저렇게 하면 EV 인증서 할애비가 와도 못박을탠대 말이죠 크크
삼성정도 되는 회사가 키 관리를 저렇게 허술하게 하는게 이해 안되네요.
22/12/05 13:03
아침에 보긴 했는데 생각이 많습니다.
저정도면 적어도 기존 기기는 몰라도 어느시점 이후 기기의 키는 바꾸든 뭘 했어야 하지않나 싶은데
22/12/05 13:21
어느 순간부터 아무 생각이 없는 삼성이 되버렸군요
삼성이 누군가에게 약점을 잡힌건지 뭔가 자포자기한듯한 운영을 하는 모습입니다 이재용을 두들겨 패고 싶습니다
22/12/05 15:11
유출된 키를 사용했다는 그 멀웨어가 뭔지 이름조차 못밝히는 시점에서 신빙성이 팍 떨어지는데요..?
구지 못밝힐 이유가 하나도 없는데..??
22/12/05 15:37
구글 보안팀인 프로젝트 제로팀 발표를 바탕으로 하고 있습니다
현재 스파이웨어 업체에서 위 취약점으로 개발한 제품을 판매하고 있다는데 앱이 특정되면 더 확산될 수 있으니 그부분은 가릴 수 있죠 https://www.boannews.com/media/view.asp?idx=111467 제로데이 취약점이니 위험한 게 맞습니다
22/12/05 15:54
저의 짧은 생각으로 오프라인이 아닌 온라인 세상에서 범죄 툴 제작이 가능한 판매자가 알려지면
해당 제작자를 대상으로 한 의뢰가 늘 개연성이 있지 줄어들거라고는 생각되지 않네여
22/12/05 15:56
“사인 키가 유출되었다”와 “유출된 키가 멀웨어에 사용되었다”는 2가지 주장이 나온 것인데, 일단 유출 자체는 사실인 것 같습니다. 삼성의 입장도 유출을 부정하진 않았고요.
다음 링크에서는 Google 엔지니어가 밝힌 멀웨어의 목록이 있긴 한데 어떤게 삼성의 유출된 키가 사용되었는지 명시하진 않았네요. https://www.xda-developers.com/android-oem-key-leak-samsung-lg-mediatek/
22/12/05 17:12
삼성의 변명을 믿는다면 이미 배포된 모든 앱들의 서명키 변경을 하기 어려우니 해당 서명키로 signed 된거 외에 다른 보안 체크를 추가한 것으로 보이네요. 그리고 그 로직은 삼성이 커스터마이즈한 안드로이드 하위 레이어에서 동작하는 것 같고.(그래서 최신 SW로 업데이트를 유지하라고 코멘트)
처음엔 말이 안 된다 생각했지만 다른 한편으론 서명키라는게 100% 안전하게 보관된다는 보장은 아무도 할 수 없어서 (최근에 토요타도 GitHub에 몇 년동안 보안키를 보관...). 그리고 구글쪽에는 이미 노티가 되어서 구글 플레이스토어에서도 추가 조치를 한 걸로 보이구요.
22/12/05 19:46
댓글 추가합니다.
오늘 뉴스로 NHN에서 운영중인 페이코도 서명키가 뚫렸네요. '천만 페이코' 서명키 유출 넉달이나 뚫린 것 몰랐다 https://n.news.naver.com/article/009/0005055720
|
||||||||||||