비디오: ë¶í© ì ë¤ë¤ ê°ìí~ê°ìí ëëì²´ ë길ë (십월 2024)
안드로이드 보안에 관해 글을 쓸 때, 나는 똑같은 문제를 반복해서 많이 보는 경향이 있습니다 (SSL, 여러분! 어서!). 우리는 Widdit의 CEO 인 Noam Fine과 모바일 개발 책임자 인 Nir Orpaz에게 안드로이드 개발자가 왜 보안 선택을하고 왜 자신의 보안 위기에 대처 한 후 더 나은 조치를 취해야하는지 설명해달라고 요청했습니다.
지식 부족
Widdit 개발자와 대화하는 것부터 Android 생태계의 플레이어 사이에 연결이 끊어진 것 같습니다. "사용자는 자신의 휴대 전화에 무엇을 추가하고 있는지 충분히 교육받지 못했습니다." "모두가 정말로 그렇게 많이 신경 쓰는지 모르겠습니다."
반면 개발자는 앱이 나타낼 수있는 위험을 항상 알고있는 것은 아닙니다. "개발자는 자신이 전송하는 것이 개인 정보라는 것을 완전히 이해하지 못한다"고 Orphaz는 말했다. Fine은 정보가 실제로 "개인적"인 정보에 대해 엄격하고 빠른 규칙이 없다고 동의했습니다.
또 다른 문제는 개발자에게 소프트웨어에 SDK (Software Development Kit)를 포함시켜 사용자에 대한 정보를 수집하도록하는 타사 광고주입니다. 광고주는 여러 앱의 데이터를 충격적으로 상세한 문서로 컴파일 할 수 있습니다. 예를 들어, 한 앱은 나이를 요구하고 다른 앱은 이름을 요구할 수 있지만 동일한 광고주는 두 가지 모두를 다룰 수 있습니다.
Widdit이 앱 개발과 광고 사이에 있다는 점은 주목할 가치가 있습니다. 앱에 삽입 할 수있는 SDK 플랫폼을 개발하여 앱 개발자가 자신의 작품에서 돈을 벌 수 있습니다.
사용자 교육의 부족으로 보안에 대한 책임은 전적으로 개발자에게 있습니다. 파인은 "평판에 관심이 있다면 명성 유지에 많은 노력을 기울이고있다. 이는 보안 관행만큼이나 비즈니스 관행을 의미한다"고 말했다. 그는 개발자들에게 광고주와 가입하고 앱에 SDK를 설치하기 전에 신중하게 생각하도록 독려했습니다. 또한 개발자가 앱에서 SDK를 활성화하기 전에 필요한 권한을 검토하도록 권장했습니다. "개발자로서 이러한 권한을 요청하지 않은 경우 SDK에 해당 권한을 부여 하시겠습니까?"
안전하게 개발
Fine과 Orphaz는 보안에 관해 이야기하는 것이 한 가지 일이라고 말했지만 앱에서 구현하는 것은 또 다른 일이었습니다. 정보 전송을 위해 암호화 된 SSL 연결을 유지 관리하는 것이 좋지만 소규모 개발자에게는 문제가 될 수 있습니다. Orpaz는“SSL 서버를 가져와야하는데 때로는 쉬운 일이 아닙니다. 우리는 SSL을 회피하거나 잘못 다루는 것에 대해 많은 회사들이 비판을 받았습니다.
일부 취약성은 가장 기본적인 기능조차도 발생합니다. 예를 들어 Fine은 앱이 인터넷에 연결할 수있는 Android 권한을 가리 켰습니다. "이것은 모든 개발자가하는 일입니다. 네트워크에 연결되면 즉시 취약점이됩니다."
그는 개발자가 상식을 사용하고 앱에 포함 된 기능의 잠재적 위험을 매핑하고 사용자에 대한 정보를 수집하도록 권장했습니다. 파인은“이러한 일을한다면 '위험을 최소화하기 위해 무엇을하고 있는가?'를 멈추고 생각해야한다. "대부분의 개발자들이 그렇게 확신하지 않습니다."
직접 체험
Widdit은 자체 보안 문제가 있었으며 최근 모바일 위협 월요일 게시물에서보고했습니다. 그들의 시스템은 앱에서 SDK 코드를 사용하여 매일 원격 서버를 호출하여 Android 전화에 업데이트를 다운로드합니다. 보안 연구원들은 SSL 연결없이 통신이 처리되어 공격자가 파일을 가로 채서 악의적 인 파일로 대체 할 수 있기 때문에 위험하다고 경고했습니다.
Fine and Orphaz는 연구자들이 발표하기 전에 문제에 대해 알고 있으며 이미 문제를 해결할 계획이라고 강조했습니다. "이 취약점은 발생 가능성이 매우 낮은 것으로 인식되었습니다. 일단 더 잘 이해 한 후에는 즉시 문제를 해결하고 새 버전을 출시했습니다." Fine은 Widdit을 사용하여 "10 억분의 1"의 확률로 공격을 성공적으로 수행했다고 설명했습니다.
그러나 그는 변경이 필요하다는 것을 인정했습니다. 파인은 "실제로 가능성이 낮다고 말할 수는 없다"고 말했다.
Widdit을 사용하여 누군가의 전화를 공격하려면 공격자가 많은 시간을 투자해야한다는 것이 사실입니다. 확실히 일반적인 안드로이드 사기꾼이 시도하는 그런 종류의 것이 아닙니다. 그러나 그 대가가 합당하고 모바일 위협 환경이 항상 변화하고 있다면 공격자는 막대한 자원을 요구할 수 있습니다. 오늘날 10 억 대 1의 기회는 내일은 틀림 없습니다.
모두, 당신의 게임
Android 사용자는 NSA 데이터 수집에 대한 Snowden의 계시 때문에 보안에 대해 더 우려 할 수 있지만 자체 앱도 살펴 봐야합니다. 우리는 스파이 기관이 Angry Birds와 같은 게임을 이용하여 정보를 수집하는 방법을 이미 보았습니다. 파인은 사용자가 안드로이드 생태계를 주도하고 있으며 더 나은 보안을 원한다면 개발자가 따라야 할 것이라고 말했다.
Fine은 "모든 사람은 표준을 설정하고 자신과 자녀를 교육 할 Android 사용자의 책임이있다"고 말했다. "우리 아이들은 자라서 모든 것이 공유되지 않은 시간을 알지 못할 것입니다." 벌금은 개발자들이 "같은 책임감을 느낄 필요가있다"고 계속했다.
