PGR21.com
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
Date 2022/12/05 12:21:46
Name Regentag
Link #1 https://news.hada.io/topic?id=7956
Subject [일반] 삼성 안드로이드의 앱 서명키가 유출되어 멀웨어에 사용 (수정됨)
삼성 안드로이드의 앱 서명키가 유출되어 멀웨어에 사용되었다는 주장이 나왔습니다.
https://news.hada.io/topic?id=7956
====

• 개발자의 암호화 서명 키는 안드로이드 보안의 핵심요소
• 구글 안드로이드 보안팀에서 올린 글에 유출된 키들에 대한 설명이 있는데, 일부 키가 삼성/LG/Mediatek 소유의 키임
• 심지어 이 키들은 "플랫폼 인증서 키" 라서 거의 루트 접근에 가까움
  - 시스템에 "android" 앱을 인증하는데 사용 하는 키임
  - 이 "android" 앱은 권한이 높은 사용자 ID인 "android.uid.system" 으로 실행되어 사용자 데이터 액세스 권한 및 시스템 권한을 보유함
  - 이 인증서로 서명된 모든 앱은 안드로이드 OS에 대해서 같은 수준의 권한으로 실행이 가능

• 유출된 삼성의 키는 삼성페이, 빅스비, 전화 앱 등 약 101개에 이르는 페이지에 있는 수백개의 앱들에 사용되었음
• 심지어 삼성은 오늘까지도 해당 키를 교체 하지 않았음
• 얘기가 더 이상한 것은, APKMirror 설립자가 말하길 VirusTotal에서 해당 키로 서명한 멀웨어는 2016년 것이라는 것
====

앱 서명(코드 서명)은 어떤 실행파일에 인증서로 “서명”하여 이 프로그램이 올바른 개발자(기업)가 배포한 것임을 인증하고, 체크섬을 활용하여 변조가 없음을(무결성) 보장할수 있게 하는 것입니다.
https://ko.m.wikipedia.org/wiki/코드_서명

즉 단말기에서는 삼성의 인증서로 서명된 앱은 삼성이 배포한 것이므로 믿어도 된다고 판단되는거죠.

국내에서 코드 서명 인증서의 유출사건은 간간히 있어왔고, 2016년 관련 대책이 논의된적이 있었던 것 같습니다.
[보안SW 코드서명 인증서 유출 사고 경험담 : 시사점과 대응책은 무엇?] (이유지 | 2016년 4월 29일)
https://byline.network/2016/04/1-137/

한국전자인증은 유출방지 캠페인도 하고 있네요.
[한국전자인증,코드사인 인증서 유출방지 캠페인 실시](2019년 August 8일)
https://cert.crosscert.com/한국전자인증코드사인-인증서-유출방지-캠페인-실/

캠페인의 방향은 “EV 인증서를 도입하라”인 것 같지만요. (EV 인증서는 발급 비용이 비쌉니다.)

한편, 이 문제에 대하여 질의하자 삼성은 다음과 같은 답을 보내왔다고 합니다.
"삼성은 갤럭시 기기의 보안을 중요하게 생각하며, 2016년부터 해당 문제를 인지하고 보안패치를 진행하였으며, 현재까지 해당 취약점과 관련된 보안 사고는 알려진 바 없습니다. 항상 소프트웨어 업데이트로 장치를 최신 상태로 유지하는것을 추천합니다."

통합규정 1.3 이용안내 인용

"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.
법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
아케이드
22/12/05 12:44
수정 아이콘
정말 요즘 삼성 왜 이럴까요...
22/12/05 12:45
수정 아이콘
애초에 키 관리를 저렇게 하면 EV 인증서 할애비가 와도 못박을탠대 말이죠 크크
삼성정도 되는 회사가 키 관리를 저렇게 허술하게 하는게 이해 안되네요.
22/12/05 13:03
수정 아이콘
아침에 보긴 했는데 생각이 많습니다.

저정도면 적어도 기존 기기는 몰라도 어느시점 이후 기기의 키는 바꾸든 뭘 했어야 하지않나 싶은데
똥진국
22/12/05 13:21
수정 아이콘
어느 순간부터 아무 생각이 없는 삼성이 되버렸군요
삼성이 누군가에게 약점을 잡힌건지 뭔가 자포자기한듯한 운영을 하는 모습입니다
이재용을 두들겨 패고 싶습니다
22/12/05 13:53
수정 아이콘
요즘 삼성은 혁신이 사라진 느낌은 있네요
내부적으론 치열하게 연구 하겠지만
페스티
22/12/05 14:06
수정 아이콘
한심한 모습만 보여주는 것을 보면 불안합니다
단비아빠
22/12/05 15:11
수정 아이콘
유출된 키를 사용했다는 그 멀웨어가 뭔지 이름조차 못밝히는 시점에서 신빙성이 팍 떨어지는데요..?
구지 못밝힐 이유가 하나도 없는데..??
조메론
22/12/05 15:14
수정 아이콘
동감해요.
기사도 그냥 주장일 뿐이고, 이걸로 삼성 욕할 일인가 싶네요.
타카이
22/12/05 15:37
수정 아이콘
구글 보안팀인 프로젝트 제로팀 발표를 바탕으로 하고 있습니다
현재 스파이웨어 업체에서 위 취약점으로 개발한 제품을 판매하고 있다는데 앱이 특정되면 더 확산될 수 있으니 그부분은 가릴 수 있죠
https://www.boannews.com/media/view.asp?idx=111467

제로데이 취약점이니 위험한 게 맞습니다
단비아빠
22/12/05 15:50
수정 아이콘
(수정됨) 멀웨어 이름이 특정된다고 해서 멀웨어가 더 확산될 이유는 하나도 없습니다
타카이
22/12/05 15:54
수정 아이콘
저의 짧은 생각으로 오프라인이 아닌 온라인 세상에서 범죄 툴 제작이 가능한 판매자가 알려지면
해당 제작자를 대상으로 한 의뢰가 늘 개연성이 있지 줄어들거라고는 생각되지 않네여
Regentag
22/12/05 15:56
수정 아이콘
“사인 키가 유출되었다”와 “유출된 키가 멀웨어에 사용되었다”는 2가지 주장이 나온 것인데, 일단 유출 자체는 사실인 것 같습니다. 삼성의 입장도 유출을 부정하진 않았고요.

다음 링크에서는 Google 엔지니어가 밝힌 멀웨어의 목록이 있긴 한데 어떤게 삼성의 유출된 키가 사용되었는지 명시하진 않았네요.
https://www.xda-developers.com/android-oem-key-leak-samsung-lg-mediatek/
도라지
22/12/05 17:54
수정 아이콘
그럼 인지한 즉시 업그레이드를 하라고 권고했어야 하는데, 이 건 관련해서는 권고사항을 못봤네요.
좀 특이한 대응이긴 하네요.
타츠야
22/12/05 17:12
수정 아이콘
삼성의 변명을 믿는다면 이미 배포된 모든 앱들의 서명키 변경을 하기 어려우니 해당 서명키로 signed 된거 외에 다른 보안 체크를 추가한 것으로 보이네요. 그리고 그 로직은 삼성이 커스터마이즈한 안드로이드 하위 레이어에서 동작하는 것 같고.(그래서 최신 SW로 업데이트를 유지하라고 코멘트)
처음엔 말이 안 된다 생각했지만 다른 한편으론 서명키라는게 100% 안전하게 보관된다는 보장은 아무도 할 수 없어서 (최근에 토요타도 GitHub에 몇 년동안 보안키를 보관...). 그리고 구글쪽에는 이미 노티가 되어서 구글 플레이스토어에서도 추가 조치를 한 걸로 보이구요.
타츠야
22/12/05 19:46
수정 아이콘
댓글 추가합니다.
오늘 뉴스로 NHN에서 운영중인 페이코도 서명키가 뚫렸네요.
'천만 페이코' 서명키 유출 넉달이나 뚫린 것 몰랐다
https://n.news.naver.com/article/009/0005055720
목록 삭게로! 맨위로
번호 제목 이름 날짜 조회 추천
공지 [정치] [공지] 정치카테고리 운영 규칙을 변경합니다. [허들 적용 완료] [124] 오호 20/12/30 184959 0
공지 [일반] 자유게시판 글 작성시의 표현 사용에 대해 다시 공지드립니다. [15] empty 19/02/25 284335 7
공지 [일반] [필독] 성인 정보를 포함하는 글에 대한 공지입니다 [51] OrBef 16/05/03 409541 27
공지 [일반] 통합 규정(2019.11.8. 개정) [2] jjohny=쿠마 19/11/08 266798 3
97805 [일반] 인구 감소 시대의 연금 지급 방식 [21] VictoryFood1504 23/01/30 1504 2
97804 [정치] 2025년부터 유치원·어린이집 합친다…새 통합기관 출범 [14] 덴드로븀1714 23/01/30 1714 0
97803 [일반] [웹소설] 심야십담 - 감탄할 만큼 두려운 [4] meson422 23/01/30 422 0
97802 [일반] 스타트업에서 오지 말아야 했던 이유 (1) 부재 [19] 시라노 번스타인1506 23/01/30 1506 9
97801 [일반] 갤럭시 북 3 울트라 정보 유출 [12] SAS Tony Parker 1599 23/01/30 1599 0
97800 [일반] 정년연장에 대해 어찌생각하십니까? [87] 미즈레이4458 23/01/30 4458 1
97799 [일반] 훈수 [8] 초모완1190 23/01/30 1190 8
97798 [일반] 직장 선택의 어려움 [22] 백수갓수2402 23/01/30 2402 6
97797 [일반] 한 능력자가 만든 그래픽카드 중고 시세 조회 페이지 [13] SAS Tony Parker 2232 23/01/30 2232 0
97796 [정치] 학교구성원 순결조례 등장 [65] SkyClouD4815 23/01/30 4815 0
97795 [정치] 국민연금 보험료율 9%→15% 합의, 노예로의 길 [413] dbq1239981 23/01/30 9981 0
97794 [일반] 흰머리 단상 [16] nm막장3430 23/01/29 3430 6
97793 [일반] <몬티 파이튼의 성배> - 이런 미친 영화가. [35] aDayInTheLife3411 23/01/29 3411 4
97792 [일반] 마스크 의무 조정과 판데믹의 결말 [79] 여왕의심복7430 23/01/29 7430 186
97791 [일반] 엄마와 키오스크. [54] v.Serum5232 23/01/29 5232 46
97790 [일반] 개인적인 마블영화시리즈 재미 순위(본것만) [25] 꽃차3415 23/01/29 3415 0
97789 [일반] <현기증(1958)> - 매혹적 명작. [17] aDayInTheLife1940 23/01/29 1940 1
97788 수정잠금 댓글잠금 [일반] 만 40~60세 무자녀 남녀 국민연금 납입금 2배 인상 [298] 마블러스썬데이17409 23/01/28 17409 25
97787 [일반] 워킹맘의 주저리 주저리... [17] 로즈마리5828 23/01/28 5828 38
목록 이전 다음
댓글

+ : 최근 1시간내에 달린 댓글
+ : 최근 2시간내에 달린 댓글
맨 위로