<Android11 주요업데이트 및 보안개선사항>
기능강화
-기기의 가장자리를 둘러싸는 디스플레이인 워터폴 디스플레이를 지원하기위해 API제공, 컷아웃이있는 변형된 디스플레이로 취급함
-ADB 증분 APK 설치 : 대용량 APK설치시 증분 APK로 설치 가능하여 다운로드 및 설치 속도가 향상됨, ADB install은 기기에서 지원
보안개선사항
-백그라운드 위치 액세스 개선 : 위치 권한에 항상 허용 옵션은 없어지고 한번만 허용 옵션 생성, 자주요청하는 앱은 구글에서 삭제 가능
-패키지 공개 상태 : 앱이 사용자가 기기에 설치한 다른 앱을 쿼리하고 상호작용하는 방법 변경, 앱스토어에서 사용자가 보안 평가 가능
-포그라운드 서비스 유형 : 앱이 백그라운드에서 실행되는 동안 포그라운드 서비스를 시작하면 서비스에 권한을 부여하지 않을 경우 접근이 제한됨,
-범위 지정 저장소 : Android11을 타겟팅하는 앱은 자기앱의 /data/하위 경로만 접근 가능함
<2020년 모바일 동향>
1. 삼성 스마트폰 MMS 제로클릭 취약점
-제로클릭 : 전원만 켜져있어도 원격 해킹 가능
-2014년 이후 출시된 갤럭시 단말에서 발생함
-삼성 갤럭시 단말에서 공통으로 지원하는 .qmg이미지 포맷에서 발생
-대응방안 : 패치 수준이 20년 05월 01일 후 버전 확인
2. 안드로이드 멀웨어 Joker, 다시 구글 플레이 스토어에 등장
-조커 삽입된 안드로이드 앱 17개 발견
-2017년 초반부터 발견되어 온 멀웨어
-이전에 발견된 조커는 사기성 문자메시지를 보내는 용도였으나 이후 영수증 사기 공격을 하는 멀웨어로 발전
-감연단계 :
조커는 Android Manifest 파일 내 개발자들이 삽입하는 필드에 Base64 형태로 악성 페이로드를 숨김
이는 구글 플레이 프로텍터에 탐지되지 않으며, 설치 후 C&C 서버로부터 코드를 다운받게 되며 사용자에게 각종 알림 메시지를 제한하여 유로 서비스에 가입
3. 악성 채팅 앱
사용자를 감시하고 도난 당한 데이터를 유출하는 채팅 앱
내용
Welcome Chat앱은 Google Play 외부에서 다운로드한 채팅 앱처럼 동작하며 앱을 설치하려면 알 수 없는 출처의 앱 설치 허용 설정을 활성화 해야합니다.
설치후 SMS 메시지 전송 및 보기, 파일 액세스 및 오디오 녹음 권한과 연락처 액세스 및 장치 위치 권한을 요청하여 사용권한을 받은 직후
Welcome Chat은 C&C(명령 및 제어)서버에서 명령을 받기 시작하고 수집된 정보를 업로드
대응방안 :
- 기능 이상의 사용 권한이 필요한 앱 의심
- 신뢰할 수 있는 모바일 백신 설치
<점검 항목별 상세>
1. 최소권한 취약점 sharedUserId 사용 :
1-1. 내용 : AndroidManifest.xml 파일의 manifest 태그에 android:sharedUserId 속성을 설정할 경우 같은 아이디와 서명을 사용함으로써 다른 응용프로그램이 해당 프로그램의 정보를 접근할 수 있게 됨
1-2. 대응방안 : sharedUserId를 사용할 경우에는 이를 이용하고 있는 앱에 서로 동일한 userId가 할당됨으로써 커널 내부적으로는 서로 동일한 앱으로 동작함으로써 앱to앱 sandboxing 보호가 이루어지지 않으므로, 사용할 경우에는 이를 사용하는 이유에 대해서 정확하게 파악되어져야 함
1-3. 예외가 필요한 경우 작성약식 :
* sharedUserId명
* sharedUserId를 공유하는 앱
* 사용 이유
2. 앱 보안 취약점 소스코드 보안 난독화 미적용 :
2-1. 내용 : apk파일을 디패키징하면 Dalvik 실행코드인 DEX파일 또는 smali파일을 쵝득할 수 있고, 해당 파일을 디컴파일러(jad)를 사용하여 Java파일로 변환할 수 있음
2-2. 대응방안 : 해당 앱의 apk파일을 디컴파일하여 내부코드가 쉽게 노출되므로 소스코드를 난독화할 것을 권고하며 apk변조를 방어하기 위해 apk위변조방지 솔루션을 추가로 적용해야하고 이를 적용할 경우 변조된 apk파일이 정상적인 동작을 수행할 수 없도록 제한할수 있습니다. ex)Proguard, APC, DexGuard 등
3. 외부 노출된 컴포넌트 존재 취약점 Activity 호출을 이용한 권한 상승/도용여부
'IT > Programming' 카테고리의 다른 글
| 2020년 대표적인 모바일앱 보안이슈 사례 분석 (0) | 2021.03.02 |
|---|---|
| git cherry pick fatal: bad revision error (0) | 2021.01.28 |
| git Unable to create '/path/.git/index.lock': File exists. 에러 (0) | 2020.03.02 |
| git 이전 커밋으로 돌렸다가 되돌아오기 (0) | 2019.12.21 |
| 유용한 사이트 (0) | 2019.08.21 |
