[해외] 도청 취약점으로 수백 가지 모바일 앱 노출

 

Appthority 는 목요일에, 공식 모바일 앱 스토어에있는 170 명 이상의 기업 모바일 환경에서 700 개의 앱이 도청당한 취약점으로 인해 위험에 처할 수 있다고 경고했다.

 

영향을받는 안드로이드 애플 리케이션은 이미 1 억 8 천만 번 다운로드되었을 수 있다고 최근 연구를 바탕으로 말했다.

Appthority는이 취약점으로 인해 대규모 데이터가 노출되었다고 전했다.

 

도청자는 개발자가 Twilio Rest API 또는 SDK 를 사용하는 모바일 응용 프로그램에 자격 증명을 하드 코딩 한 결과입니다 ( Appthority에 의하면). 이는 Twilio가 자체 문서에서 권장하는 우수 사례에 위배되며, Twilio는 영향을받는 응용 프로그램을 포함한 개발 커뮤니티에 이미 계정 보안 작업을 수행하고 있습니다.

 

Appthority의 모바일 위협 팀은 4 월에 처음으로 취약점을 발견하고 7 월에 노출 된 계정에 대해 Twilio에 알 렸습니다.

 

이 취약점은 SMS, MMS 문자 메시지의 내용뿐만 아니라 통화 기록, 모바일 장치에 걸린 통화의 분 및 통화 오디오 녹음의 분을 포함하여 엄청난 양의 민감한 심지어 과거의 데이터를 노출한다고 보도했다.

 

 

위험 감소

 

기업을위한 최선의 접근법은 환경에서 도청당한 취약한 앱을 식별하고 앱에 의해 노출 된 데이터가 민감한 지 여부를 판단하는 것입니다 (Appthority가 제안했습니다).

 

"모든 대화에 기밀 정보가 포함되는 것은 아니며 기업에서의 앱 사용의 성격에 민감하거나 우려되는 데이터가 포함되지 않을 수 있습니다."보안 연구 책임자 인 세스 하디 (Seth Hardy)는 지적합니다.

 

"메시지, 오디오 콘텐츠 또는 통화 메타 데이터가 민감하거나 독점적 인 것으로 밝혀지면 이전에 앱을 사용한 결과로 생기는 대화에 대해 할 수있는 일이 많지 않을 수 있습니다."라고 TechNewsWorld에 전했습니다.

 

그러나 개발자가 수정 프로그램을 확인하고 확인하거나 도청당한 취약점없이 동일하거나 유사한 기능을 가진 대체 앱을 찾는 등 미래의 노출을 보호하기 위해 많은 노력을 기울일 수 있습니다. "모든 경우에 기업은 개발자에게 연락하여 노출 된 파일을 삭제해야합니다."

 

 

조잡한 코딩

 

도청 자의 보안 취약점은 Twilio Rest API 또는 SDK를 사용하여 생성 된 앱에만 국한되지 않는다고 Appthority는 지적했다. 자격 증명의 하드 코딩은 모바일 애플리케이션의 보안 위험을 증가시킬 수있는 일반적인 개발자 오류이기 때문이다.

 

"핵심 문제는 개발자의 게으름입니다. 따라서 Appthority가 발견 한 것은 특별한 계시가 아닙니다." Tellus Venture Associates의 수석 애널리스트 인 Steve Blum은 다음과 같이 말했습니다 .

 

"나쁜 결과를 초래하는 나쁜 관행에 대한 또 하나의 예일뿐입니다.

나중에 애플리케이션을 정리할 진실한 의도와 함께 앱을 개발하는 동안 코더가 바로 가기를 유혹하는 것은 매우 유감 스럽습니다."라고 그는 TechNewsWorld에 말했습니다.

 

"한 명 또는 소규모 팀이 개발 한 앱을 사용하면 일상적인 품질 관리 검사가 수행되지 않습니다."라고 Blum은 덧붙였습니다.

"현재, 애플과 안드로이드는 주로 QC 작업을 수행하기 위해 상점에 달려 있습니다. 그리고 나는이 특별한 문제를 살펴볼 것입니다. 하드 코딩 된 자격 증명을 더 자세히 살펴볼 수도 있습니다."

 

보안 및 개인 정보 보호가 우선되기 위해서는 Recon Analytics의 수석 애널리스트 인 Roger Entner가 제안한 패러다임 전환을 일반적으로 코딩하는 것이 필수적 일 수 있습니다 .

 

"유감스럽게도 너무 자주 보안이 비용 중심으로 간주되며 개인 정보 보호는 앱을 개발하는 회사의 수익 창출 원으로 인식됩니다"라고 TechNewsWorld는 말했습니다.

 

Entner는 "따라서 앱은 비용이 최소화되고 수익을 극대화하기 위해 보안이 취약하고 개인 정보가 존재하지 않습니다.

"이러한 위반 사례를 극복하는 유일한 방법은 실제로 소비자가 사용하는 앱에 대해 전체 가격을 지불하고 광고 지원 앱을 거부하는 것입니다."

 

 

쉬운 수정 없음

 

이 취약점에 대해 가장 걱정스러운 사실 중 하나는 도청자가 장치의 탈옥 또는 루트에 의존하지 않는다는 것입니다. 또한 다른 알려진 운영 체제의 취약점을 이용하지도 않습니다.

 

또한 영향을받는 앱을 사용자의 장치에서 제거한 후에도 취약점이 해결되지 않습니다. 대신 자격 증명이 제대로 업데이트 될 때까지 앱의 데이터는 공개됩니다.

 

Tirias Research의 수석 애널리스트 인 Paul Teich는 "영향을받는 모든 응용 프로그램을 제거하고 데이터가 손상되지 않았 으면하기 만하면 소비자가 해결할 방법이 없습니다."라고 경고했습니다 .

 

일부 사용자는 개인 정보를 손상시킬 수있는 앱이 사전로드 된 휴대 전화를 구입할 수 있습니다.

 

"Twilio는 손상된 서비스 API에 대한 모든 액세스 자격 증명을 무효화하거나 취소함으로써 개발자가 앱 코드를 업데이트하도록 강요 할 수 있습니다."라고 Teich는 TechNewsWorld에 말했습니다.

 

그러나 "갑작스런 충격은 많은 가치있는 소비자 스마트 폰 앱과 서비스가 동시에 모든 일을 멈추게 할 것"이라고 그는 말했다.

 

사용자에게는 옵션이 거의없는 것처럼 보이며 소비자가 도청에 영향을받는 앱에 대한 가시성을 확보하기가 어려울 수 있습니다.

 

회사에서 일하는 사람들은 IT 보안 팀에게 승인 된 응용 프로그램 목록을 요청한 다음 취약한 응용 프로그램을 삭제하고 대신 영향을받지 않는 응용 프로그램을 설치할 수 있습니다 "라고 Appthority의 Hardy가 제안했습니다.

 

Tirias의 Teich는 "큰 도전은 가치있는 서비스에 대한 액세스를 제공하면서이 침해로부터 정보의 흐름을 막는 방법입니다.

 

개발자가 부주의했기 때문에 이러한 상황은 거의 발생하지 않았습니다.

그러나 소비자의 태도 또한 중요한 역할을했다. 많은 사람들이 모바일 장치 보안에 비해 사용의 편의성을 선호합니다.

 

Recon Analytics의 Entner는 "소비자는 프라이버시에 대해 너무 캐주얼하지 않고 지불하지 않기로 결정했습니다. 대신 프라이버시를 돈독하게 코딩 된 앱을 통해 수익을 창출하고 손상 시켰습니다"라고 말했습니다.

 

 

 

해외 뉴스 : https://www.technewsworld.com/story/Eavesdropper-Vulnerability-Exposes-Hundreds-of-Mobile-Apps-84946.html