PGR21.com
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
Date 2022/12/05 12:21:46
Name Regentag
Link #1 https://news.hada.io/topic?id=7956
Subject [일반] 삼성 안드로이드의 앱 서명키가 유출되어 멀웨어에 사용 (수정됨)
삼성 안드로이드의 앱 서명키가 유출되어 멀웨어에 사용되었다는 주장이 나왔습니다.
https://news.hada.io/topic?id=7956
====

• 개발자의 암호화 서명 키는 안드로이드 보안의 핵심요소
• 구글 안드로이드 보안팀에서 올린 글에 유출된 키들에 대한 설명이 있는데, 일부 키가 삼성/LG/Mediatek 소유의 키임
• 심지어 이 키들은 "플랫폼 인증서 키" 라서 거의 루트 접근에 가까움
  - 시스템에 "android" 앱을 인증하는데 사용 하는 키임
  - 이 "android" 앱은 권한이 높은 사용자 ID인 "android.uid.system" 으로 실행되어 사용자 데이터 액세스 권한 및 시스템 권한을 보유함
  - 이 인증서로 서명된 모든 앱은 안드로이드 OS에 대해서 같은 수준의 권한으로 실행이 가능

• 유출된 삼성의 키는 삼성페이, 빅스비, 전화 앱 등 약 101개에 이르는 페이지에 있는 수백개의 앱들에 사용되었음
• 심지어 삼성은 오늘까지도 해당 키를 교체 하지 않았음
• 얘기가 더 이상한 것은, APKMirror 설립자가 말하길 VirusTotal에서 해당 키로 서명한 멀웨어는 2016년 것이라는 것
====

앱 서명(코드 서명)은 어떤 실행파일에 인증서로 “서명”하여 이 프로그램이 올바른 개발자(기업)가 배포한 것임을 인증하고, 체크섬을 활용하여 변조가 없음을(무결성) 보장할수 있게 하는 것입니다.
https://ko.m.wikipedia.org/wiki/코드_서명

즉 단말기에서는 삼성의 인증서로 서명된 앱은 삼성이 배포한 것이므로 믿어도 된다고 판단되는거죠.

국내에서 코드 서명 인증서의 유출사건은 간간히 있어왔고, 2016년 관련 대책이 논의된적이 있었던 것 같습니다.
[보안SW 코드서명 인증서 유출 사고 경험담 : 시사점과 대응책은 무엇?] (이유지 | 2016년 4월 29일)
https://byline.network/2016/04/1-137/

한국전자인증은 유출방지 캠페인도 하고 있네요.
[한국전자인증,코드사인 인증서 유출방지 캠페인 실시](2019년 August 8일)
https://cert.crosscert.com/한국전자인증코드사인-인증서-유출방지-캠페인-실/

캠페인의 방향은 “EV 인증서를 도입하라”인 것 같지만요. (EV 인증서는 발급 비용이 비쌉니다.)

한편, 이 문제에 대하여 질의하자 삼성은 다음과 같은 답을 보내왔다고 합니다.
"삼성은 갤럭시 기기의 보안을 중요하게 생각하며, 2016년부터 해당 문제를 인지하고 보안패치를 진행하였으며, 현재까지 해당 취약점과 관련된 보안 사고는 알려진 바 없습니다. 항상 소프트웨어 업데이트로 장치를 최신 상태로 유지하는것을 추천합니다."

통합규정 1.3 이용안내 인용

"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.
법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
아케이드
22/12/05 12:44
수정 아이콘
정말 요즘 삼성 왜 이럴까요...
22/12/05 12:45
수정 아이콘
애초에 키 관리를 저렇게 하면 EV 인증서 할애비가 와도 못박을탠대 말이죠 크크
삼성정도 되는 회사가 키 관리를 저렇게 허술하게 하는게 이해 안되네요.
22/12/05 13:03
수정 아이콘
아침에 보긴 했는데 생각이 많습니다.

저정도면 적어도 기존 기기는 몰라도 어느시점 이후 기기의 키는 바꾸든 뭘 했어야 하지않나 싶은데
똥진국
22/12/05 13:21
수정 아이콘
어느 순간부터 아무 생각이 없는 삼성이 되버렸군요
삼성이 누군가에게 약점을 잡힌건지 뭔가 자포자기한듯한 운영을 하는 모습입니다
이재용을 두들겨 패고 싶습니다
22/12/05 13:53
수정 아이콘
요즘 삼성은 혁신이 사라진 느낌은 있네요
내부적으론 치열하게 연구 하겠지만
페스티
22/12/05 14:06
수정 아이콘
한심한 모습만 보여주는 것을 보면 불안합니다
단비아빠
22/12/05 15:11
수정 아이콘
유출된 키를 사용했다는 그 멀웨어가 뭔지 이름조차 못밝히는 시점에서 신빙성이 팍 떨어지는데요..?
구지 못밝힐 이유가 하나도 없는데..??
조메론
22/12/05 15:14
수정 아이콘
동감해요.
기사도 그냥 주장일 뿐이고, 이걸로 삼성 욕할 일인가 싶네요.
타카이
22/12/05 15:37
수정 아이콘
구글 보안팀인 프로젝트 제로팀 발표를 바탕으로 하고 있습니다
현재 스파이웨어 업체에서 위 취약점으로 개발한 제품을 판매하고 있다는데 앱이 특정되면 더 확산될 수 있으니 그부분은 가릴 수 있죠
https://www.boannews.com/media/view.asp?idx=111467

제로데이 취약점이니 위험한 게 맞습니다
단비아빠
22/12/05 15:50
수정 아이콘
(수정됨) 멀웨어 이름이 특정된다고 해서 멀웨어가 더 확산될 이유는 하나도 없습니다
타카이
22/12/05 15:54
수정 아이콘
저의 짧은 생각으로 오프라인이 아닌 온라인 세상에서 범죄 툴 제작이 가능한 판매자가 알려지면
해당 제작자를 대상으로 한 의뢰가 늘 개연성이 있지 줄어들거라고는 생각되지 않네여
Regentag
22/12/05 15:56
수정 아이콘
“사인 키가 유출되었다”와 “유출된 키가 멀웨어에 사용되었다”는 2가지 주장이 나온 것인데, 일단 유출 자체는 사실인 것 같습니다. 삼성의 입장도 유출을 부정하진 않았고요.

다음 링크에서는 Google 엔지니어가 밝힌 멀웨어의 목록이 있긴 한데 어떤게 삼성의 유출된 키가 사용되었는지 명시하진 않았네요.
https://www.xda-developers.com/android-oem-key-leak-samsung-lg-mediatek/
도라지
22/12/05 17:54
수정 아이콘
그럼 인지한 즉시 업그레이드를 하라고 권고했어야 하는데, 이 건 관련해서는 권고사항을 못봤네요.
좀 특이한 대응이긴 하네요.
타츠야
22/12/05 17:12
수정 아이콘
삼성의 변명을 믿는다면 이미 배포된 모든 앱들의 서명키 변경을 하기 어려우니 해당 서명키로 signed 된거 외에 다른 보안 체크를 추가한 것으로 보이네요. 그리고 그 로직은 삼성이 커스터마이즈한 안드로이드 하위 레이어에서 동작하는 것 같고.(그래서 최신 SW로 업데이트를 유지하라고 코멘트)
처음엔 말이 안 된다 생각했지만 다른 한편으론 서명키라는게 100% 안전하게 보관된다는 보장은 아무도 할 수 없어서 (최근에 토요타도 GitHub에 몇 년동안 보안키를 보관...). 그리고 구글쪽에는 이미 노티가 되어서 구글 플레이스토어에서도 추가 조치를 한 걸로 보이구요.
타츠야
22/12/05 19:46
수정 아이콘
댓글 추가합니다.
오늘 뉴스로 NHN에서 운영중인 페이코도 서명키가 뚫렸네요.
'천만 페이코' 서명키 유출 넉달이나 뚫린 것 몰랐다
https://n.news.naver.com/article/009/0005055720
목록 삭게로! 맨위로
번호 제목 이름 날짜 조회 추천
97343 [일반] 글쓰기 버튼을 가볍게 [63] 아프로디지아10897 22/12/07 10897 44
97342 [정치] 유승민 경멸하지만 대선 최종경선 때 유승민 찍은 이유 [100] darkhero21321 22/12/07 21321 0
97341 [일반] 아, 일기 그렇게 쓰는거 아닌데 [26] Fig.110621 22/12/07 10621 21
97340 [일반] 책상 위에 미니 꽃밭과 딸기밭 만들기 [16] 가라한9327 22/12/06 9327 12
97339 [일반] 커뮤니티 분석 글들의 한계 [68] kien.17071 22/12/06 17071 24
97338 [일반] 고품격 배우들의 느와르 수리남 감상문 [14] 원장10146 22/12/06 10146 1
97337 [정치] 한덕수 김앤장 전관예우가 문제 되는 이유 [58] darkhero18266 22/12/06 18266 0
97336 [정치] 한국에 와서 고생이 많은 마이클샌델 [76] darkhero18005 22/12/06 18005 0
97335 [정치] 윤 대통령, 청와대 영빈관,상춘재 재활용 [86] 크레토스16405 22/12/06 16405 0
97334 [일반] 출산율 제고를 위한 공동직장어린이집 확충 [58] 퀘이샤13163 22/12/06 13163 38
97333 [일반] 노동권이 한국사회를 말아먹는 메커니즘(feat 출산율) [148] darkhero18744 22/12/06 18744 36
97332 [정치] 국정원 ‘신원조사’ 보안업무규정 시행규칙 개정 [117] SkyClouD15234 22/12/06 15234 0
97331 [일반] 지코의 새삥을 오케스트라로 만들어보았습니다. [2] 포졸작곡가8283 22/12/06 8283 6
97330 [일반] 아라가키 유이와 이시하라 사토미 [34] Valorant14143 22/12/06 14143 2
97329 [일반] '테라·루나 사태' 신현성 전 차이대표 영장 기각 [46] 타츠야17622 22/12/05 17622 0
97328 [일반] 건설현장에서의 노조 문제 [208] 퀘이샤23972 22/12/05 23972 75
97327 [일반] 아수스, 그래픽카드별 파워서플라이 용량 안내 [36] SAS Tony Parker 12335 22/12/05 12335 1
97326 [일반] 영천에 스타벅스가 들어옵니다(그외 3군데 추가) [80] SAS Tony Parker 15691 22/12/05 15691 2
97325 [일반] 철제궤도를 대체하는 고무궤도 [33] 어강됴리14457 22/12/05 14457 3
97324 [정치] 尹대통령 "화물연대 파업, 북핵 위협과 마찬가지" [207] 덴드로븀21463 22/12/05 21463 0
97323 [일반] 삼성 안드로이드의 앱 서명키가 유출되어 멀웨어에 사용 [15] Regentag12789 22/12/05 12789 0
97321 [정치] 피고와 원고가 한 몸이 된 재판 [12] monochrome16030 22/12/05 16030 0
97320 [일반] 재벌집 막내아들 8화 재밌었습니다. [43] Valorant13331 22/12/05 13331 2
목록 이전 다음
댓글

+ : 최근 1시간내에 달린 댓글
+ : 최근 2시간내에 달린 댓글
맨 위로