비디오: 로봇ë?•í›„ 3ê°œêµ - í•œ 미 ì?¼(韓 美 æ—¥) 개발 로봇들 -World Robot ~ ROK / JPN / USA (십월 2024)
모바일 운영 체제의 가장 좋은 점 중 하나는 샌드 박싱입니다. 이 기술은 애플리케이션을 구획화하여 위험한 앱 (또는 모든 앱)이 Android를 무료로 고칠 수 없도록합니다. 그러나 새로운 취약점은 안드로이드 샌드 박스가 생각만큼 강력하지 않다는 것을 의미합니다.
무엇입니까?
Jeff Forristal은 Black Hat에서 Android가 인증서를 처리하는 방법의 결함이 샌드 박스를 탈출하는 데 사용될 수있는 방법을 시연했습니다. 또한 피해자가 휴대 전화에서 무슨 일이 일어나고 있는지에 대한 단서를 제공하지 않고도 악의적 인 앱에 더 높은 권한 수준을 부여 할 수도 있습니다. Forristal은이 취약점을 이용하여 데이터, 비밀번호를 도용하고 여러 앱을 완전히 제어 할 수 있다고 말했습니다.
문제의 핵심에는 인증서가 있습니다. 인증서는 기본적으로 응용 프로그램이 주장하는 것과 같은 것을 보장하기위한 암호화 문서가 거의 없습니다. Forristal은 웹 사이트에서 진정성을 보장하기 위해 사용하는 것과 동일한 기술이라고 설명했습니다. 그러나 Android는 인증서 간의 암호화 관계를 검사하지 않습니다. Forristal은이 결함은 "Android 보안 시스템의 기본"이라고 말했다.
그것이하는 일
데모에서 Forristal은 가짜 ID 취약점 중 하나를 사용하여 악성 코드가 포함 된 가짜 Google 서비스 업데이트를 사용했습니다. 피해자는 앱을 설치하려고 할 때 앱에 권한이 필요하지 않고 합법적으로 보입니다. Android는 설치를 수행하며 모든 것이 정상으로 보입니다.
그러나 백그라운드에서 Forristal의 앱은 가짜 ID 취약점을 사용하여 장치의 다른 앱에 악성 코드를 자동으로 즉시 주입했습니다. 특히, 정보가 Android로 하드 코딩 된 Flash를 업데이트하기위한 Adobe 인증서. 몇 초 만에 그는 기기에서 5 개의 앱을 제어 할 수있었습니다.이 중 일부는 피해자의 기기에 깊이 액세스 할 수있었습니다.
Forristal이 Android를 처음 사용하는 것은 아닙니다. 2013 년에 Forristal은 소위 마스터 키 익스플로잇 (Master Key exploit)을 발표하면서 안드로이드 커뮤니티를 시작했습니다. 이 광범위한 취약점은 가짜 앱이 합법적 인 앱으로 위장하여 악의적 인 앱에 무료 패스를 제공 할 수 있음을 의미했습니다.
아이디 확인
Forristal의 발표는 우리에게 Android에 대한 시선을 끄는 소식을 줄뿐 아니라 우리의 보호 기능을 제공하는 도구를 제공했습니다. Forristal은이 취약점을 탐지하기 위해 무료 검색 도구를 출시했습니다. 물론 이는 여전히 사람들이 맬웨어가 휴대폰에 들어가는 것을 방지해야한다는 것을 의미합니다.
버그는 Google에보고되었으며 패치는 다른 수준에서 나올 것입니다.
더 중요한 것은 전체 공격이 앱을 설치하는 희생자에 달려 있습니다. 사실, 많은 권한을 요구하는 적기가 없지만 Forristal은 사용자가 "어두운 곳"(읽기: Google Play 외부)에서 앱을 사용하지 않으면 안전하다고 말했다. 적어도 지금은.
