PGR21.com
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
Date 2022/12/05 12:21:46
Name Regentag
Link #1 https://news.hada.io/topic?id=7956
Subject [일반] 삼성 안드로이드의 앱 서명키가 유출되어 멀웨어에 사용 (수정됨)
삼성 안드로이드의 앱 서명키가 유출되어 멀웨어에 사용되었다는 주장이 나왔습니다.
https://news.hada.io/topic?id=7956
====

• 개발자의 암호화 서명 키는 안드로이드 보안의 핵심요소
• 구글 안드로이드 보안팀에서 올린 글에 유출된 키들에 대한 설명이 있는데, 일부 키가 삼성/LG/Mediatek 소유의 키임
• 심지어 이 키들은 "플랫폼 인증서 키" 라서 거의 루트 접근에 가까움
  - 시스템에 "android" 앱을 인증하는데 사용 하는 키임
  - 이 "android" 앱은 권한이 높은 사용자 ID인 "android.uid.system" 으로 실행되어 사용자 데이터 액세스 권한 및 시스템 권한을 보유함
  - 이 인증서로 서명된 모든 앱은 안드로이드 OS에 대해서 같은 수준의 권한으로 실행이 가능

• 유출된 삼성의 키는 삼성페이, 빅스비, 전화 앱 등 약 101개에 이르는 페이지에 있는 수백개의 앱들에 사용되었음
• 심지어 삼성은 오늘까지도 해당 키를 교체 하지 않았음
• 얘기가 더 이상한 것은, APKMirror 설립자가 말하길 VirusTotal에서 해당 키로 서명한 멀웨어는 2016년 것이라는 것
====

앱 서명(코드 서명)은 어떤 실행파일에 인증서로 “서명”하여 이 프로그램이 올바른 개발자(기업)가 배포한 것임을 인증하고, 체크섬을 활용하여 변조가 없음을(무결성) 보장할수 있게 하는 것입니다.
https://ko.m.wikipedia.org/wiki/코드_서명

즉 단말기에서는 삼성의 인증서로 서명된 앱은 삼성이 배포한 것이므로 믿어도 된다고 판단되는거죠.

국내에서 코드 서명 인증서의 유출사건은 간간히 있어왔고, 2016년 관련 대책이 논의된적이 있었던 것 같습니다.
[보안SW 코드서명 인증서 유출 사고 경험담 : 시사점과 대응책은 무엇?] (이유지 | 2016년 4월 29일)
https://byline.network/2016/04/1-137/

한국전자인증은 유출방지 캠페인도 하고 있네요.
[한국전자인증,코드사인 인증서 유출방지 캠페인 실시](2019년 August 8일)
https://cert.crosscert.com/한국전자인증코드사인-인증서-유출방지-캠페인-실/

캠페인의 방향은 “EV 인증서를 도입하라”인 것 같지만요. (EV 인증서는 발급 비용이 비쌉니다.)

한편, 이 문제에 대하여 질의하자 삼성은 다음과 같은 답을 보내왔다고 합니다.
"삼성은 갤럭시 기기의 보안을 중요하게 생각하며, 2016년부터 해당 문제를 인지하고 보안패치를 진행하였으며, 현재까지 해당 취약점과 관련된 보안 사고는 알려진 바 없습니다. 항상 소프트웨어 업데이트로 장치를 최신 상태로 유지하는것을 추천합니다."

통합규정 1.3 이용안내 인용

"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.
법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
아케이드
22/12/05 12:44
수정 아이콘
정말 요즘 삼성 왜 이럴까요...
22/12/05 12:45
수정 아이콘
애초에 키 관리를 저렇게 하면 EV 인증서 할애비가 와도 못박을탠대 말이죠 크크
삼성정도 되는 회사가 키 관리를 저렇게 허술하게 하는게 이해 안되네요.
22/12/05 13:03
수정 아이콘
아침에 보긴 했는데 생각이 많습니다.

저정도면 적어도 기존 기기는 몰라도 어느시점 이후 기기의 키는 바꾸든 뭘 했어야 하지않나 싶은데
똥진국
22/12/05 13:21
수정 아이콘
어느 순간부터 아무 생각이 없는 삼성이 되버렸군요
삼성이 누군가에게 약점을 잡힌건지 뭔가 자포자기한듯한 운영을 하는 모습입니다
이재용을 두들겨 패고 싶습니다
22/12/05 13:53
수정 아이콘
요즘 삼성은 혁신이 사라진 느낌은 있네요
내부적으론 치열하게 연구 하겠지만
페스티
22/12/05 14:06
수정 아이콘
한심한 모습만 보여주는 것을 보면 불안합니다
단비아빠
22/12/05 15:11
수정 아이콘
유출된 키를 사용했다는 그 멀웨어가 뭔지 이름조차 못밝히는 시점에서 신빙성이 팍 떨어지는데요..?
구지 못밝힐 이유가 하나도 없는데..??
조메론
22/12/05 15:14
수정 아이콘
동감해요.
기사도 그냥 주장일 뿐이고, 이걸로 삼성 욕할 일인가 싶네요.
타카이
22/12/05 15:37
수정 아이콘
구글 보안팀인 프로젝트 제로팀 발표를 바탕으로 하고 있습니다
현재 스파이웨어 업체에서 위 취약점으로 개발한 제품을 판매하고 있다는데 앱이 특정되면 더 확산될 수 있으니 그부분은 가릴 수 있죠
https://www.boannews.com/media/view.asp?idx=111467

제로데이 취약점이니 위험한 게 맞습니다
단비아빠
22/12/05 15:50
수정 아이콘
(수정됨) 멀웨어 이름이 특정된다고 해서 멀웨어가 더 확산될 이유는 하나도 없습니다
타카이
22/12/05 15:54
수정 아이콘
저의 짧은 생각으로 오프라인이 아닌 온라인 세상에서 범죄 툴 제작이 가능한 판매자가 알려지면
해당 제작자를 대상으로 한 의뢰가 늘 개연성이 있지 줄어들거라고는 생각되지 않네여
Regentag
22/12/05 15:56
수정 아이콘
“사인 키가 유출되었다”와 “유출된 키가 멀웨어에 사용되었다”는 2가지 주장이 나온 것인데, 일단 유출 자체는 사실인 것 같습니다. 삼성의 입장도 유출을 부정하진 않았고요.

다음 링크에서는 Google 엔지니어가 밝힌 멀웨어의 목록이 있긴 한데 어떤게 삼성의 유출된 키가 사용되었는지 명시하진 않았네요.
https://www.xda-developers.com/android-oem-key-leak-samsung-lg-mediatek/
도라지
22/12/05 17:54
수정 아이콘
그럼 인지한 즉시 업그레이드를 하라고 권고했어야 하는데, 이 건 관련해서는 권고사항을 못봤네요.
좀 특이한 대응이긴 하네요.
타츠야
22/12/05 17:12
수정 아이콘
삼성의 변명을 믿는다면 이미 배포된 모든 앱들의 서명키 변경을 하기 어려우니 해당 서명키로 signed 된거 외에 다른 보안 체크를 추가한 것으로 보이네요. 그리고 그 로직은 삼성이 커스터마이즈한 안드로이드 하위 레이어에서 동작하는 것 같고.(그래서 최신 SW로 업데이트를 유지하라고 코멘트)
처음엔 말이 안 된다 생각했지만 다른 한편으론 서명키라는게 100% 안전하게 보관된다는 보장은 아무도 할 수 없어서 (최근에 토요타도 GitHub에 몇 년동안 보안키를 보관...). 그리고 구글쪽에는 이미 노티가 되어서 구글 플레이스토어에서도 추가 조치를 한 걸로 보이구요.
타츠야
22/12/05 19:46
수정 아이콘
댓글 추가합니다.
오늘 뉴스로 NHN에서 운영중인 페이코도 서명키가 뚫렸네요.
'천만 페이코' 서명키 유출 넉달이나 뚫린 것 몰랐다
https://n.news.naver.com/article/009/0005055720
목록 삭게로! 맨위로
번호 제목 이름 날짜 조회 추천
97323 [일반] 삼성 안드로이드의 앱 서명키가 유출되어 멀웨어에 사용 [15] Regentag12781 22/12/05 12781 0
97321 [정치] 피고와 원고가 한 몸이 된 재판 [12] monochrome16018 22/12/05 16018 0
97320 [일반] 재벌집 막내아들 8화 재밌었습니다. [43] Valorant13318 22/12/05 13318 2
97319 [정치] 10.29 유족에 검사가 '마약 부검' 제안‥유족들 "희생자 두 번 죽여" [64] 크레토스17496 22/12/04 17496 0
97318 [일반] <<화엄경>>을 통해 보는 대승 불경에서 힌두 신들의 위치 [4] 자급률7987 22/12/04 7987 8
97317 [일반] [창작물] 천마들의 회동 < 각 내용의 스포 주의! > [4] 마신_이천상11008 22/12/04 11008 3
97316 [일반] 다시 본 밴드 오브 브라더스, 퍼시픽 [24] Valorant10521 22/12/04 10521 2
97315 [일반] AGF 2022 토요일 후기 [12] 그때가언제라도9360 22/12/04 9360 8
97314 [일반] [성경이야기]언제나 혼자였던 사사 삼손 [5] BK_Zju12237 22/12/04 12237 22
97313 [일반] 야한 미소녀 게임을 하면 연애 못하는 백수가 될까? [45] kien.17985 22/12/04 17985 10
97312 [일반] 벌금의 요금화 [77] 상록일기18925 22/12/04 18925 45
97311 [일반] 사이트 & 사운드: The greatest film of all time 2022 [6] lexicon8663 22/12/04 8663 1
97310 [일반] [팝송] 그리핀 새 앨범 "Alive" 김치찌개6845 22/12/04 6845 1
97309 [일반]  <노인을 위한 나라는 없다> - 이해할 수 없는 세상을 이해하려는 것.(스포) [19] aDayInTheLife10915 22/12/03 10915 3
97308 [일반] The First Slam Dunk 감상문 (스포있음) [19] 서린언니9821 22/12/03 9821 5
97307 [일반] 현송학을 아십니까? [15] 具臣10689 22/12/03 10689 13
97306 [정치] 서해 공무원 피살 때 문재인 정부의 외교안보사령탑이었던 서훈 전 청와대 국가안보실장이 구속되었습니다 [363] 여수낮바다24039 22/12/03 24039 0
97305 [일반] 폴 크루그먼 "블록체인으로 뭘 하겠다는건가" [119] lexial19526 22/12/03 19526 7
97304 [일반] 어제 글은 죄송했습니다. [19] 제트버스터11535 22/12/03 11535 8
97303 [일반] [방산] 역시 국기는 돌려 달아야 [40] 어강됴리15549 22/12/03 15549 10
97302 [정치] 검찰, ‘자녀 입시비리·감찰무마’ 조국에 징역 5년 구형 [90] 미뉴잇19849 22/12/02 19849 0
97300 [일반] [스포없음] 연극 추천 : 아트 / 스카팽 [4] Tigris8299 22/12/02 8299 2
97299 [일반] 라이젠 7천 시리즈 새로운 패키징 디자인, 여전히 낮은 가격 [19] SAS Tony Parker 11935 22/12/02 11935 1
목록 이전 다음
댓글

+ : 최근 1시간내에 달린 댓글
+ : 최근 2시간내에 달린 댓글
맨 위로