개발자 숙련 부족으로 암호화 문제를 가진 앱들이 안드로이드 앱마켓에서 유통되고 있다고 8일(현지시간) 미국 지디넷이 보도했다.
미국 콜롬비아 대학교 한 연구팀은 '크라이로거'라는 안드로이드 앱 분석도구를 개발해 구글 플레이스토어 내 앱 1천780개를 확인했다. 33개 서로 다른 카테고리의 앱들을 26가지 기본 암호화 기준에 따라 분석했다. 그 결과 306개 앱이 한 개 이상의 암호화 기준에 미달한 것으로 나왔다.
한 팀원은 "이 앱들은 꽤 잘 알려진 것들로, 수십만 건에서 1억건 다운로드 된 것들이다"고 말했다.
26개 암호화 기준들 중에서도 가장 많이 어긋난 규칙은 '안전하지 않은 난수 번호 생성기를 사용하지 않기'였다. 1천775개 앱이 이 규칙에서 벗어났다.
그 다음으로 가장 많이 어긴 규칙은 '손상된 해시 함수(SHA1, MD2, MD5 등) 사용하지 않기'로, 1천764개 앱이 이를 충족하지 못했다.
세 번째로 많이 어긴 규칙인 'CBC 운영 모드 사용하지 않기'와 관련해 1천76개 앱이 이에 부합하지 않은 것으로 집계됐다.
미국 지디넷은 "이들 규칙들은 암호화 종사자들이라면 매우 잘 알려진 내용인데, 이를 어겼다는 것은 앱 보안에 대해 굉장히 미숙한 개발자가 앱을 제작했다는 것으로 보인다"며 "혹은 그들의 앱 개발 환경이 더 발전된 암호화 기법을 미처 따라가지 못했을 수 있다"고 설명했다.
아울러 크라이로거 연구팀이 암호화 기법에 문제가 있는 306개 앱 개발자들에게 연락해 취약점을 알렸으나, 18곳에서만 답장을 받았으며 그중 8곳만 지적을 수용해 개선했다.
일부 암호화가 미비한 부분(버그)은 애플리케이션 코드에 속했으나, 또다른 버그들은 앱의 일부로 사용된 자바 라이브러리에 적용된 지점도 발견됐다. 연구팀은 6곳의 안드로이드 라이브러리 개발자들에게 연락을 취했으나, 단 두 곳만 응답했다.
관련기사
연구팀 측은 이처럼 개발자들의 개선 의지가 미약한 가운데 암호화 버그가 존재하는 306개의 앱들을 대중에 공개하는 것은 위험하다고 판단했다. 예상치 못한 악의적 공격들이 발생할 우려가 있기 때문이다.
이번 크라이로거는 외부로 추출된 코드까지 분석할 수 있는 암호화 분석 도구이며, 현재 깃허브에서 관련 코드를 사용할 수 있다. 추출 전 코드에 대해 분석할 수 있는 암호화 분석기 '크립토가드'도 깃허브에서 활용할 수 있다. 두 도구 모두 이용자 디바이스의 코드와 결합하기 전 상태의 앱 자체에 대해 분석 가능한 것이 특징이다.
September 09, 2020 at 11:41AM
https://ift.tt/3hhmS9H
암호화 규칙 미준수 안드로이드 앱 수두룩 - ZDNet korea - ZD넷 코리아
https://ift.tt/30MQmYy
Bagikan Berita Ini
0 Response to "암호화 규칙 미준수 안드로이드 앱 수두룩 - ZDNet korea - ZD넷 코리아"
Post a Comment