IoT / 보안 / 안드로이드

"불완전한 안드로이드 앱, 커넥티드 카를 위험에 빠트린다"…카스퍼스키

Lucian Constantin | IDG News Service 2017.02.20
수백만 명의 자동차 소유자가 원격으로 차량을 찾고 잠금을 해제할 수 있는 안드로이드 앱을 사용하고 있지만, 이 앱에는 해커들의 변조를 방지할 수 있는 보안 기능이 없다.

카스퍼스키 랩의 연구원들은 다양한 제조업체의 커넥티드 카에 사용되는 가장 인기있는 7개의 안드로이드 앱을 해킹 관점에서 분석했다. 앱과 제조업체의 이름은 특정하지 않았다.

이 연구원들은 이런 앱들이 설치되어 있는 기기가 악성코드에 감염되면 공격자가 해당 기기를 가로채기 어렵게 만드는 대책을 사용하고 있는 지에 대해 조사했다. 뱅킹 앱과 같은 애플리케이션의 경우, 이런 보호 기능이 있었다.

이번 조사에서 테스트를 받은 어떤 애플리케이션도 공격자가 프로그램을 분석하는 것을 어렵게 만드는 코드 난독화를 사용하지 않았으며, 악의적인 조작을 방지하기 위해 코드 무결성 검사를 사용하지 않았다는 점이 드러났다.

2개의 애플리케이션은 로컬에 저장된 로그인 자격 증명을 암호화하지 않았고, 4개는 비밀번호만 암호화했다. 실행중인 기기가 루팅됐는지 확인하는 앱은 없었다. 이는 앱이 안전하지 않고 손상됐을 가능성이 있음을 나타낸다.

마지막으로 테스트된 모든 애플리케이션이 다른 앱이 화면 위에 덮어씌울 수 없도록 하는 오버레이 방지 기능을 사용하지 않았다. 악성코드 앱 중에는 사용자가 속임수에 넘어가 로그인 정보를 노출하도록 가짜 로그인 화면을 가짜 앱에 표시할 수 있다.

물론 커넥티드 카 앱을 해킹하는 것만으로는 직접 절도 행위를 할 수 있는 것은 아니다. 하지만, 절도 행위를 쉽게 할 수 있도록 도와준다. 대부분 이런 앱이나 앱들이 저장한 자격 증명들은 차량을 원격으로 잠금 해제하고 경고 시스템을 사용할 수 없도록 하는데 사용할 수 있다.

카스퍼스키 연구원은 한 블로그에서 "이 위험 요소가 단순한 차량 절도에 국한되는 것은 아니다"며, "자동차 접근 권한을 획득해 자체 요소를 변경하면 도로 사고를 일으켜, 부상 또는 사망에 이르게 할 수 있다"고 경고했다.

제조업체들은 자동차 소유자 경험을 향상시킬 수 있도록 자동차에 스마트 기능을 추가하는 것을 서두르고 있지만, 백엔드 인프라와 통신 채널을 보호하는데 더 많은 노력을 기울여야 한다.

그러나 카스퍼스키 연구원들은 모바일 앱과 같이 클라이언트 측 코드가 공격자에게 가장 쉬운 목표이며 가장 취약한 부분이기 때문에 무시해서는 안된다고 주장했다.

이 연구원은 "자동차는 은행 계정에서보다 조금 더 세심한 보안 접근 방식이 필요하다"고 덧붙였다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.