Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
모바일 / 보안

드러난 안드로이드 보안 취약점 FAQ

Jared Newman | PCWorld 2011.05.18
안드로이드폰의 보안 취약점으로 인해, 연락처, 캘린더, 사진 데이터들이 유출될 수 있는 것으로 알려졌다. 그러나 이것이 안드로이드 보안에 심각한 것인지, 아니면 그저 두려움을 확산시키기 위한 과장된 이야기 인지 확실하지 않다.
 
지금까지 알려진 사실들을 점검해 보자.
 
이슈가 무엇인가?
여러 구글 안드로이드 애플리케이션은 클라이언트로진(ClientLogin)이라는 방법을 통해서 웹 기반의 서비스에 민감한 정보의 전송을 인증한다. 클라이언트로진은 승인 토큰을 사용해서 사용자의 로그인 및 비밀번호를 보안화된https 연결로 구글 캘린더나 동기화된 연락처 등 웹 서비스에 전송한다.
 
울름 대학교(Ulm University) 연구원들에 따르면, 문제는 이 토큰이 활성화 됐다가 반송됐을 때이다. 최대2주까지 보안화 되지 않은http 연결을 통할 수 있는데, 와이파이 네트워크 상의 해커들에게 공격의 여지를 주게 되는 것이다.
 
무엇이 위험한가?
해커는 훔친 토큰을 통해서 캘린더, 연락처, 혹은 피카사 이미지에 액세스가 가능하다. 이 서비스 내의 내용을 변경할 수 있다는 것이다. 산업 스파이 혹은 개인 스토킹을 할 수 있다.
 
대상 기기는 무엇인가?
이 이슈는 안드로이드의2.3.4 버전 이전의 연락처, 캘린더와2.3.4의 피카사 웹 앨범이 포함된다. 연구원들은 안드로이드폰 중99.7%라고 주장했는데, 이것은 최근에 안드로이드 마켓에 접속한 기기만을 대상으로 하기 때문에 정확하지는 않다. 그러나 안드로이드폰 대부분이 영향이 있다고 보면 된다.
 
누가 공격받기 쉬운가?
쉽지는 않다. 이 공격은 사용자와 해커가 같은 와이파이 네트워크 상에 있어야 한다. 스타벅스 등과 같은 공개 와이파이 액세스 포인트를 위장한 경우에 일반적으로 보안화 처리되지 않은 와이파이 환경일 때 더 위험하다.
 
사용자가 할 수 있는 것은 무엇인가?
가장 좋은 것은 안전한 와이파이 네트워크만을 이용하는 것이다. 또한, 안드로이드 설정에서 공개 와이파이에 접속됐을 때 자동 동기화 하는 설정을 꺼야 한다. 피카사 정보는 아직 취약하지만, 안드로이드2.3.4로 업데이트 하면, 대부분의 문제점이 해결되지만, 이것은 전적으로 이동통신사와 휴대폰 제조업체의 손에 달린 것이다.
 
구글이 무엇을 해야 하나?
연구원들은 모든 애플리케이션이나 동기화 서비스가 안드로이드2.3.4의 구글 캘린더나 연락처처럼https로 전환해야 한다는 것을 골자로, 구글에 대해 다양한 권고 사항을 전했다. OAuth 같은 인증 서비스의 보안을 강화하고, 인증 토큰 수명에 제한을 두거나http 연결을 통한 클라이언트로진 요청을 거절하고, 자동 와이파이 연결을 안전한 네트워크로 제한하는 방법을 만들어야 한다는 설명이다. editor@itworld.co.kr
 Tags 안드로이드

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.