# 삼성의 안드로이드 앱 서명 키가 유출되어서 멀웨어에 사용됨 > Clean Markdown view of GeekNews topic #7956. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=7956](https://news.hada.io/topic?id=7956) - GeekNews Markdown: [https://news.hada.io/topic/7956.md](https://news.hada.io/topic/7956.md) - Type: news - Author: [xguru](https://news.hada.io/@xguru) - Published: 2022-12-05T10:47:06+09:00 - Updated: 2022-12-05T10:47:06+09:00 - Original source: [arstechnica.com](https://arstechnica.com/gadgets/2022/12/samsungs-android-app-signing-key-has-leaked-is-being-used-to-sign-malware/) - Points: 11 - Comments: 7 ## Topic Body - 개발자의 암호화 서명 키는 안드로이드 보안의 핵심요소 - 구글 안드로이드 보안팀에서 올린 글에 유출된 키들에 대한 설명이 있는데, 일부 키가 삼성/LG/Mediatek 소유의 키임 - 심지어 이 키들은 "플랫폼 인증서 키" 라서 거의 루트 접근에 가까움 - 시스템에 "android" 앱을 인증하는데 사용 하는 키임 - 이 "android" 앱은 권한이 높은 사용자 ID인 "android.uid.system" 으로 실행되어 사용자 데이터 액세스 권한 및 시스템 권한을 보유함 - 이 인증서로 서명된 모든 앱은 안드로이드 OS에 대해서 같은 수준의 권한으로 실행이 가능 - 유출된 삼성의 키는 삼성페이, 빅스비, 전화 앱 등 약 101개에 이르는 페이지에 있는 수백개의 앱들에 사용되었음 - 심지어 삼성은 오늘까지도 해당 키를 교체 하지 않았음 - 얘기가 더 이상한 것은, APKMirror 설립자가 말하길 VirusTotal에서 해당 키로 서명한 멀웨어는 2016년 것이라는 것 - 즉 6년전부터 그랬다는 것인데.. 삼성에 물어보니 다음과 같은 얘기를 함 > "삼성은 갤럭시 기기의 보안을 중요하게 생각하며, 2016년부터 해당 문제를 인지하고 보안패치를 진행하였으며, 현재까지 해당 취약점과 관련된 보안 사고는 알려진 바 없습니다. 항상 소프트웨어 업데이트로 장치를 최신 상태로 유지하는것을 추천합니다." - 솔직히 이건 말이 안됨. 왜 이걸 몇년간 알고 있으면서 유출된 키를 사용하고 있지? - 이미 판매된 휴대폰을 업데이트 하는데 어려움이 있을수도 있지만, 2016년 이후로 삼성은 수많은 기기를 새로 만들었음. 이미 몇년전에 새로운 키로 OS빌드를 했어야 할 것 같은데.. - 안드로이드 보안팀에서는 "이 키 유출건에 대해서 보고하자, OEM파트너들이 대응 조치를 구현했다. 또한 Build Test Suite에서도 멀웨어를 감지하고 있고, 구글 플레이도 역시 멀웨어를 감지하고 있음" 라고 얘기는 하고 있음 - OEM들은 빨리 손상된 키를 교체하여야 할 것. 삼성이 왜 아직 해당 키를 계속 사용하는지는 명확하지 않음 - 안드로이드의 APK Signature Scheme V3를 이용하면 개발자가 업데이트만으로 앱 키를 변경이 가능 - 구글 플레이는 V3를 강제하지만, 일부 OEM들은 아직 V2를 이용중 ## Comments ### Comment 13640 - Author: ruinnel - Created: 2022-12-07T10:39:45+09:00 - Points: 1 https://news.einfomax.co.kr/news/articleView.html?idxno=4245304 이거 뜨고 몇일만에... 페이코 서명키 사태가 시끌 시끌하군요. 근데 ... 왜 이건은 조용하죠? ㅋㅋ.. ### Comment 13615 - Author: geekgram - Created: 2022-12-06T08:05:18+09:00 - Points: 1 삼성이 멀웨어 관리하는것 아니냐는 의심 할수 있는 증거 아니냐는 글인거죠? ### Comment 13619 - Author: xguru - Created: 2022-12-06T10:24:08+09:00 - Points: 1 - Parent comment: 13615 - Depth: 1 거기까지는 아닌듯 합니다. 그냥 큰 대응안하고 내비두고 있다는 느낌인듯 ### Comment 13612 - Author: ganadist - Created: 2022-12-05T21:19:51+09:00 - Points: 1 APK signature scheme v3는 사용 가능하지만, 1. 현재 안드로이드 앱은 app bundle형식으로 업로드된 후 구글에 제공한 서명키로 Google Play에서 서명됨 2. APK scheme v3에서 서명키를 돌려막는 기능은 옵션은 3. Google Play에서는 아직 key rotation 을 지원하지 않음. 작년부터 key rotation기능이 곧 제공될거라고 커밍순이라고 한지가 어언 1년반이.넘었습니다 ### Comment 13618 - Author: xguru - Created: 2022-12-06T10:23:18+09:00 - Points: 1 - Parent comment: 13612 - Depth: 1 헐 그렇군요.. 추가 정보 감사합니다! ### Comment 13611 - Author: laeyoung - Created: 2022-12-05T20:41:46+09:00 - Points: 1 왜 그랬는지는 이해는 되긴 합니다, 왜 계속 그랬는지도 가늠이 좀 되고요. 그래도 계속 그런건 그렇긴 하죠. ### Comment 13602 - Author: love7peace - Created: 2022-12-05T17:46:05+09:00 - Points: 1 이거 실화야?