# 구글의 또 다른 비밀 브라우저 > Clean Markdown view of GeekNews topic #13172. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=13172](https://news.hada.io/topic?id=13172) - GeekNews Markdown: [https://news.hada.io/topic/13172.md](https://news.hada.io/topic/13172.md) - Type: GN+ - Author: [neo](https://news.hada.io/@neo) - Published: 2024-02-03T09:58:32+09:00 - Updated: 2024-02-03T09:58:32+09:00 - Original source: [matan-h.com](https://matan-h.com/another-secret-browser) - Points: 2 - Comments: 1 ## Topic Body ### Google Play 서비스 내부의 또 다른 비밀 브라우저 발견 - Google Play 서비스 내부에 숨겨진 비밀 브라우저가 있음. - 이 브라우저는 링크를 통해 접근 가능하며, Google의 일반적인 부모 통제 기능과 '잠금 모드'를 우회할 수 있음. - 연락처 앱을 통해 안드로이드 화면 고정 기능을 우회하는 비슷한 방법도 발견됨. ### 접근 방법은? - 연락처 앱에 들어가서 새 연락처를 추가하거나 기존 연락처를 편집함. - '추가 필드'를 클릭하고 '웹사이트' 필드에 "https://gds.google.com/gmsdrops" 입력 후 저장함. - 저장한 연락처의 링크를 클릭하면 Google Play 서비스 앱 내의 비밀 브라우저에 접근할 수 있음. ### 왜 이 방법이 통하는가? - 잠금 모드에서 Google은 모든 앱을 잠그지만, Google Play 서비스와 연락처 앱은 예외임. - "https://gds.google.com/gmsdrops"는 안드로이드 '새로운 기능'으로의 딥링크임. - 부모 통제 기능은 딥링크를 열 수 없지만, 연락처 앱을 통해서는 링크를 열 수 있음. ### 화면 고정 우회 - 안드로이드 11 이상에서는 화면 고정 기능을 사용하여 특정 앱에서만 사용을 제한할 수 있음. - 화면 고정 상태에서는 새 앱을 열 수 없으므로 이전과 같은 링크를 사용할 수 없지만, 팝업 창으로 열리는 Google Podcasts의 딥링크를 사용할 수 있음. ### Google의 반응 - 부모 통제 우회와 안드로이드 화면 고정 우회에 대해 Google에 보고함. - Google은 부모 통제 문제를 화면 고정 우회 문제와 합쳐서 처리하고, 중복된 사례를 '잊어버림'. - Google은 화면 고정 우회가 의도된 동작이라고 답변함. GN⁺의 의견: - 이 기사는 Google Play 서비스 내부에 숨겨진 브라우저를 통해 부모 통제 기능과 화면 고정 기능을 우회하는 방법을 공개함으로써, 보안 취약점에 대한 인식을 높이는 데 중요함. - 사용자들은 이 정보를 통해 자녀 보호 기능이나 개인 정보 보호 기능에 대한 더 나은 이해를 가질 수 있으며, 필요한 경우 보안 조치를 강화할 수 있음. - Google의 반응은 이러한 취약점에 대한 그들의 접근 방식과 우선순위를 반영하며, 사용자와 보안 연구자들에게 중요한 피드백을 제공함. ## Comments ### Comment 22782 - Author: neo - Created: 2024-02-03T09:58:32+09:00 - Points: 1 ###### [Hacker News 의견](https://news.ycombinator.com/item?id=39226754) - 어린 시절 은행 로비에 설치된 단일 사이트 브라우저가 있는 컴퓨터 터미널 이야기 > 어린 시절, 은행과 유사한 기관들은 로비에 단일 사이트만 볼 수 있는 특수 브라우저를 탑재한 컴퓨터 터미널을 두었음. 이는 'Best Viewed In' 배지가 유행하던 시절이었음. 부모님과 함께 심부름을 갈 때마다, 이 컴퓨터를 찾아 'Best Viewed In' 배지를 클릭하면 제한을 우회하여 netscape.com 같은 사이트로 이동할 수 있었고, 거기서 검색 엔진 링크를 찾아 자유롭게 웹 서핑을 할 수 있었음. - 보안 취약점 보고를 다루는 팀은 내부 팀을 가리키며 책임을 회피해선 안 됨 > 보안 취약점을 보고하는 팀은 "다른 내부 팀의 일이니 그들에게 문의하라"고 말해서는 안 됨. 실제로 조직 내의 거의 모든 직원은 신빙성 있는 취약점 보고를 받으면 적절한 사람에게 전달해야 함. 이는 무시해서는 안 될 문제임. - 구글의 부모 통제 기능이 미흡함 > 구글의 부모 통제 기능은 개선이 필요함. Play Store 앱을 비활성화하는 기능에 대한 요청이 오랫동안 있었지만, 여전히 adb를 사용하지 않고서는 불가능함(adb 사용은 다른 문제를 야기함). 실제 어린이가 테스트한 것 같지 않음. 예를 들어, Play Store에서 비디오가 포함된 스크린샷이 있는 앱을 찾아 YouTube로 이동하는 방식으로 YouTube 시간 제한을 쉽게 우회할 수 있었음. 이 방법은 실제로 저자의 아들이 발견하여 보여줌. - Windows 98 로그인 화면 우회 해킹 트릭을 연상시킴 > 이는 Windows 98 로그인 화면을 우회하는 해킹 트릭을 떠올리게 함. 구글이 시스템 설계에서 Windows 98 수준으로 나빠질 것이라고는 예상하지 못했음. - 컴퓨터 시스템의 내부를 탐구하며 '해킹'하는 첫 경험을 회상함 > 가족 컴퓨터에 트로이 목마를 심어 문제를 일으킨 후 아버지가 집에 오기 전에 해결해야 했던 일, 부모님이 인터넷 사용 몇 년 후 갑자기 설치하기로 한 NetNanny 등의 부모 통제 기능을 우회하는 방법 등이 IT 및 엔지니어링 분야로 진로를 결정하는 데 영향을 줌. 리눅스 라이브 CD와 리눅스를 접하게 되었음. 오늘날 해커들도 여전히 이러한 교육을 받고 있음을 알게 됨. - 구글 설정 내에 숨겨진 비밀 브라우저에 대한 관련 정보 > 구글 설정 내에 숨겨진 비밀 브라우저에 대한 정보가 있음. 2023년 6월에 해커뉴스에서 312개의 댓글이 달린 토론이 있었음. - 구글 플레이 서비스가 스스로 새로운 권한을 부여할 수 있다는 사실 > 구글 플레이 서비스가 스스로 새로운 권한을 부여할 수 있다고 함. 이것이 어떻게 작동하는지, 루트 권한을 가지고 있는지에 대한 의문이 제기됨. - GrapheneOS에서는 샌드박스 처리된 플레이 서비스가 영향을 받지 않음 > GrapheneOS에서는 샌드박스 처리된 플레이 서비스가 영향을 받지 않으며, 전화 앱은 연락처에서 웹 URL을 볼 수 없고, 연락처 앱은 기사에 제시된 두 URL을 고정 모드에서 열지 못함. - 2023년 이전 토론에 관심이 있다면 > 2023년에 있었던 이전 토론에 관심이 있는 사람들을 위한 링크가 제공됨. 해당 토론에는 312개의 댓글이 달렸음.