1000개 이상의 안드로이드 앱들은 당신이 허락하지 않아도 데이터를 수집해 가는 것으로 드러났습니다.

원문은 Techspot에서 찾아볼 수 있습니다.

 

 

--------------------------------------------------------------------------------------

 

 

1907___369458893.jpg

 

연구자들은 아직 빙산의 일각이 드러났을 뿐이라고 하네요.

 

Usenix 보안 컨퍼런스의 연구자들은 여러 개의 Play Store의 앱들이 당신의 허락 여부를 본질적으로 무시하고 심지어 당신의 스마트폰에 무엇이 있는지에 대해 상호 간에 접근 권한을 공유할 수 있는지 자세하게 설명한 후 Google로부터 버그 현상금을 받았습니다.

 

우리는 악의적인 의도가 없는 엄선된 앱들로 가득 차야만 하는 앱 스토어라는 개념에 대해 익숙해졌습니다. Google과 Apple 모두 당신의 전화번호부(Contact list), 메세지, 파일, 카메라 혹은 위치 정보에 대해 앱들로 하여금 허락을 받도록 강제하고 있지만, 이 앱들은 당신이 앱들에게 (정보에 대한) 접근을 거부했음에도 데이터를 뽑아내는 다른 방법을 가지고 있습니다.

 

안드로이드 앱의 경우, 국제 컴퓨터 과학 연구소의 연구자들은 88,000개의 표본(pool) 중 최소한 1,300개의 앱들이 당신이 권한 허가 화면에서 동의하지 않았더라도 이를 우회하는 50개나 되는 방법을 가지고 있었던 것으로 조사되었습니다.


이 발견은 Usenix 보안 컨퍼런스에서 시연되었고 Play Store 앱이 접근 제한을 우회하는 2가지 일반적인 방법을 강조했습니다. 그 첫번째는 수십 개의 앱에서 당신의 모바일 장치의 고유 식별자를 어떻게든 저장하도록 하는 Unity와 같은 안드로이드와 써드파티 SDK 취약점과 관련이 있습니다.

 

두번째는 "위장 채널(covert channel)"이라고 불리는데, 동일한 권한을 갖지 못한 앱들과 사용자 정보를 똑똑한 혹은 비정상적인(unorthodox) 방법으로 공유할 수 있는 방법을 가진 앱들의 줄임말입니다. 예를 들면, 중국 기업 업 Baidu와 Salmonads의 써드 파티 라이브러리는 SD카드를 민감한 정보를 저장하는데 사용하는데, 이 정보들은 이에 대해 기술적으로 접근할 권한을 받지 못한 앱들에게 넘어갈 수 있습니다. 주의를 드리자면, 50억 개의 장치에 설치된 153개나 되는 이런 앱들이 있습니다.

 

Google은 연구자들의 발견에 보상했고 프라이버시에 초점을 맞추기로 한 Android Q에서 이 이슈를 해결하겠다고 약속했습니다.

 

 

 

 

 

Translated, Summarized by 부엉이갸우뚱

원문 기사를 간략하게 요약했습니다.

자세한 내용은 원문 기사를 참조하세요.

다소의 오/의역 있습니다.

페이스북에 공유 트위터에 공유 구글플러스에 공유 카카오스토리에 공유 네이버밴드에 공유 신고

작성자

현재 레벨 : 슈퍼지구 부엉이갸우뚱  회원
28,599 (64.5%)

1902___124627221.png

    댓글 : 4
스트라이어  
우회가능한 취약점이 있다는건지

실제로 이 취약점을 이용해서 취득을 하고있는게 걸린건지 기사내용이 조금 불분명하네요

원문찾아보면 될거같긴한데 아무리 월급루팡이라도 일은ㅊ해야되서 ㅜㅠ
부엉이갸우뚱  
[@스트라이어] 원문 기사 요약하면서 제가 이해하기로는
취약점이 발견되었다 정도인 것 같습니다.
실제 얼마나 많은 앱들이 이 취약점을 악용하고 있었는지는 모르지만,
1000개 이상의 앱들이 취약점을 이용했을 가능성이 있죠.
마라톤  
좋은 정보 감사합니다. ^_^
By지누  
이거 뭐 어쩌라는건지 ㅋ
동의안했는데 가져가면 불법아님?
분류 제목
페이스북에 공유 트위터에 공유 구글플러스에 공유 카카오스토리에 공유 네이버밴드에 공유