PGR21.com
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
Date 2022/12/05 12:21:46
Name Regentag
Link #1 https://news.hada.io/topic?id=7956
Subject [일반] 삼성 안드로이드의 앱 서명키가 유출되어 멀웨어에 사용 (수정됨)
삼성 안드로이드의 앱 서명키가 유출되어 멀웨어에 사용되었다는 주장이 나왔습니다.
https://news.hada.io/topic?id=7956
====

• 개발자의 암호화 서명 키는 안드로이드 보안의 핵심요소
• 구글 안드로이드 보안팀에서 올린 글에 유출된 키들에 대한 설명이 있는데, 일부 키가 삼성/LG/Mediatek 소유의 키임
• 심지어 이 키들은 "플랫폼 인증서 키" 라서 거의 루트 접근에 가까움
  - 시스템에 "android" 앱을 인증하는데 사용 하는 키임
  - 이 "android" 앱은 권한이 높은 사용자 ID인 "android.uid.system" 으로 실행되어 사용자 데이터 액세스 권한 및 시스템 권한을 보유함
  - 이 인증서로 서명된 모든 앱은 안드로이드 OS에 대해서 같은 수준의 권한으로 실행이 가능

• 유출된 삼성의 키는 삼성페이, 빅스비, 전화 앱 등 약 101개에 이르는 페이지에 있는 수백개의 앱들에 사용되었음
• 심지어 삼성은 오늘까지도 해당 키를 교체 하지 않았음
• 얘기가 더 이상한 것은, APKMirror 설립자가 말하길 VirusTotal에서 해당 키로 서명한 멀웨어는 2016년 것이라는 것
====

앱 서명(코드 서명)은 어떤 실행파일에 인증서로 “서명”하여 이 프로그램이 올바른 개발자(기업)가 배포한 것임을 인증하고, 체크섬을 활용하여 변조가 없음을(무결성) 보장할수 있게 하는 것입니다.
https://ko.m.wikipedia.org/wiki/코드_서명

즉 단말기에서는 삼성의 인증서로 서명된 앱은 삼성이 배포한 것이므로 믿어도 된다고 판단되는거죠.

국내에서 코드 서명 인증서의 유출사건은 간간히 있어왔고, 2016년 관련 대책이 논의된적이 있었던 것 같습니다.
[보안SW 코드서명 인증서 유출 사고 경험담 : 시사점과 대응책은 무엇?] (이유지 | 2016년 4월 29일)
https://byline.network/2016/04/1-137/

한국전자인증은 유출방지 캠페인도 하고 있네요.
[한국전자인증,코드사인 인증서 유출방지 캠페인 실시](2019년 August 8일)
https://cert.crosscert.com/한국전자인증코드사인-인증서-유출방지-캠페인-실/

캠페인의 방향은 “EV 인증서를 도입하라”인 것 같지만요. (EV 인증서는 발급 비용이 비쌉니다.)

한편, 이 문제에 대하여 질의하자 삼성은 다음과 같은 답을 보내왔다고 합니다.
"삼성은 갤럭시 기기의 보안을 중요하게 생각하며, 2016년부터 해당 문제를 인지하고 보안패치를 진행하였으며, 현재까지 해당 취약점과 관련된 보안 사고는 알려진 바 없습니다. 항상 소프트웨어 업데이트로 장치를 최신 상태로 유지하는것을 추천합니다."

통합규정 1.3 이용안내 인용

"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.
법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
아케이드
22/12/05 12:44
수정 아이콘
정말 요즘 삼성 왜 이럴까요...
22/12/05 12:45
수정 아이콘
애초에 키 관리를 저렇게 하면 EV 인증서 할애비가 와도 못박을탠대 말이죠 크크
삼성정도 되는 회사가 키 관리를 저렇게 허술하게 하는게 이해 안되네요.
22/12/05 13:03
수정 아이콘
아침에 보긴 했는데 생각이 많습니다.

저정도면 적어도 기존 기기는 몰라도 어느시점 이후 기기의 키는 바꾸든 뭘 했어야 하지않나 싶은데
똥진국
22/12/05 13:21
수정 아이콘
어느 순간부터 아무 생각이 없는 삼성이 되버렸군요
삼성이 누군가에게 약점을 잡힌건지 뭔가 자포자기한듯한 운영을 하는 모습입니다
이재용을 두들겨 패고 싶습니다
22/12/05 13:53
수정 아이콘
요즘 삼성은 혁신이 사라진 느낌은 있네요
내부적으론 치열하게 연구 하겠지만
페스티
22/12/05 14:06
수정 아이콘
한심한 모습만 보여주는 것을 보면 불안합니다
단비아빠
22/12/05 15:11
수정 아이콘
유출된 키를 사용했다는 그 멀웨어가 뭔지 이름조차 못밝히는 시점에서 신빙성이 팍 떨어지는데요..?
구지 못밝힐 이유가 하나도 없는데..??
조메론
22/12/05 15:14
수정 아이콘
동감해요.
기사도 그냥 주장일 뿐이고, 이걸로 삼성 욕할 일인가 싶네요.
타카이
22/12/05 15:37
수정 아이콘
구글 보안팀인 프로젝트 제로팀 발표를 바탕으로 하고 있습니다
현재 스파이웨어 업체에서 위 취약점으로 개발한 제품을 판매하고 있다는데 앱이 특정되면 더 확산될 수 있으니 그부분은 가릴 수 있죠
https://www.boannews.com/media/view.asp?idx=111467

제로데이 취약점이니 위험한 게 맞습니다
단비아빠
22/12/05 15:50
수정 아이콘
(수정됨) 멀웨어 이름이 특정된다고 해서 멀웨어가 더 확산될 이유는 하나도 없습니다
타카이
22/12/05 15:54
수정 아이콘
저의 짧은 생각으로 오프라인이 아닌 온라인 세상에서 범죄 툴 제작이 가능한 판매자가 알려지면
해당 제작자를 대상으로 한 의뢰가 늘 개연성이 있지 줄어들거라고는 생각되지 않네여
Regentag
22/12/05 15:56
수정 아이콘
“사인 키가 유출되었다”와 “유출된 키가 멀웨어에 사용되었다”는 2가지 주장이 나온 것인데, 일단 유출 자체는 사실인 것 같습니다. 삼성의 입장도 유출을 부정하진 않았고요.

다음 링크에서는 Google 엔지니어가 밝힌 멀웨어의 목록이 있긴 한데 어떤게 삼성의 유출된 키가 사용되었는지 명시하진 않았네요.
https://www.xda-developers.com/android-oem-key-leak-samsung-lg-mediatek/
도라지
22/12/05 17:54
수정 아이콘
그럼 인지한 즉시 업그레이드를 하라고 권고했어야 하는데, 이 건 관련해서는 권고사항을 못봤네요.
좀 특이한 대응이긴 하네요.
타츠야
22/12/05 17:12
수정 아이콘
삼성의 변명을 믿는다면 이미 배포된 모든 앱들의 서명키 변경을 하기 어려우니 해당 서명키로 signed 된거 외에 다른 보안 체크를 추가한 것으로 보이네요. 그리고 그 로직은 삼성이 커스터마이즈한 안드로이드 하위 레이어에서 동작하는 것 같고.(그래서 최신 SW로 업데이트를 유지하라고 코멘트)
처음엔 말이 안 된다 생각했지만 다른 한편으론 서명키라는게 100% 안전하게 보관된다는 보장은 아무도 할 수 없어서 (최근에 토요타도 GitHub에 몇 년동안 보안키를 보관...). 그리고 구글쪽에는 이미 노티가 되어서 구글 플레이스토어에서도 추가 조치를 한 걸로 보이구요.
타츠야
22/12/05 19:46
수정 아이콘
댓글 추가합니다.
오늘 뉴스로 NHN에서 운영중인 페이코도 서명키가 뚫렸네요.
'천만 페이코' 서명키 유출 넉달이나 뚫린 것 몰랐다
https://n.news.naver.com/article/009/0005055720
목록 삭게로! 맨위로
번호 제목 이름 날짜 조회 추천
공지 [일반] [공지]자게 운영위 현황 및 정치카테고리 관련 안내 드립니다. + 선거게시판 오픈 안내 [29] jjohny=쿠마 25/03/16 25992 18
공지 [정치] [공지] 정치카테고리 운영 규칙을 변경합니다. [허들 적용 완료] [126] 오호 20/12/30 306691 0
공지 [일반] 자유게시판 글 작성시의 표현 사용에 대해 다시 공지드립니다. [16] empty 19/02/25 360380 10
공지 [일반] 통합 규정(2019.11.8. 개정) [2] jjohny=쿠마 19/11/08 364035 4
104459 [일반] [팝송] 테이트 맥레이 새 앨범 "So Close To What" 김치찌개168 25/07/06 168 0
104458 [일반] 오징어게임 시즌 3 감성평 (스포일러 없습니다.) [23] 성야무인2093 25/07/05 2093 2
104457 [일반] 광무제를 낳은 용릉후 가문 (12) - 뒤늦은 깨달음, 경시제 유현 (4) [2] 계층방정1066 25/07/05 1066 2
104456 [일반] 멀티탭에 에어컨 꽂아두신 거 아니죠? [77] 밥과글7956 25/07/05 7956 32
104455 [일반] 자존감은 어떻게 생기는가 [10] 번개맞은씨앗2863 25/07/05 2863 10
104454 [일반] 트럼프의 "하나의 크고 아름다운 법안(OBBBA)"이 미국 의회를 통과했습니다. [147] 전기쥐12506 25/07/04 12506 7
104453 [정치] 박선원 "멀쩡한 드론통제차량 폐차 시도…증거인멸 정황" [152] 로즈마리13614 25/07/04 13614 0
104452 [정치] 북극항로, 대왕고래와 같은 대국민 사기극이 될 것인가? [45] 삭제됨7782 25/07/04 7782 0
104451 [일반] 정부 "SKT 위약금 면제해야…안전한 통신 제공 의무 못해" [63] EnergyFlow7868 25/07/04 7868 0
104450 [일반] 조금 다른 아이를 키우는 일상 18 [10] Poe2839 25/07/04 2839 18
104449 [정치] [한국갤럽] 李 대통령 직무수행평가 65% [59] 철판닭갈비7870 25/07/04 7870 0
104448 [일반] 현대 기아는 중국 시장에서 부활할 수 있을까? [40] 깃털달린뱀6375 25/07/04 6375 4
104447 [정치] 문화부 장관은 왜 안뽑는걸까요? [31] 방구차야7973 25/07/04 7973 0
104446 [정치] 김민석 국무총리 인준안 통과 (국민의힘 표결 불참) + 초선의원의 표결 실수 [249] Davi4ever12457 25/07/03 12457 0
104444 [일반] 사회와 심리 : 중간자 [9] 번개맞은씨앗3432 25/07/03 3432 1
104443 [일반] 입대 1주년, 휴가 복귀 전 써보는 글 [29] No.99 AaronJudge3859 25/07/03 3859 10
104442 [정치] 바보야, 문제는 교육이야 [105] 휘군7726 25/07/03 7726 0
104441 [정치] 국민의힘 비상대책위원회, 전원 탄핵 반대파? [45] 철판닭갈비8218 25/07/03 8218 0
104440 [정치] 이재명 대통령 취임 30일 기념 기자회견 [47] 물러나라Y9773 25/07/03 9773 0
목록 이전 다음
댓글

+ : 최근 1시간내에 달린 댓글
+ : 최근 2시간내에 달린 댓글
맨 위로