삼성의 안드로이드 앱 서명 키가 유출되어서 멀웨어에 사용됨
(arstechnica.com)- 개발자의 암호화 서명 키는 안드로이드 보안의 핵심요소
- 구글 안드로이드 보안팀에서 올린 글에 유출된 키들에 대한 설명이 있는데, 일부 키가 삼성/LG/Mediatek 소유의 키임
- 심지어 이 키들은 "플랫폼 인증서 키" 라서 거의 루트 접근에 가까움
- 시스템에 "android" 앱을 인증하는데 사용 하는 키임
- 이 "android" 앱은 권한이 높은 사용자 ID인 "android.uid.system" 으로 실행되어 사용자 데이터 액세스 권한 및 시스템 권한을 보유함
- 이 인증서로 서명된 모든 앱은 안드로이드 OS에 대해서 같은 수준의 권한으로 실행이 가능
- 유출된 삼성의 키는 삼성페이, 빅스비, 전화 앱 등 약 101개에 이르는 페이지에 있는 수백개의 앱들에 사용되었음
- 심지어 삼성은 오늘까지도 해당 키를 교체 하지 않았음
- 얘기가 더 이상한 것은, APKMirror 설립자가 말하길 VirusTotal에서 해당 키로 서명한 멀웨어는 2016년 것이라는 것
- 즉 6년전부터 그랬다는 것인데.. 삼성에 물어보니 다음과 같은 얘기를 함
"삼성은 갤럭시 기기의 보안을 중요하게 생각하며, 2016년부터 해당 문제를 인지하고 보안패치를 진행하였으며, 현재까지 해당 취약점과 관련된 보안 사고는 알려진 바 없습니다. 항상 소프트웨어 업데이트로 장치를 최신 상태로 유지하는것을 추천합니다."
- 즉 6년전부터 그랬다는 것인데.. 삼성에 물어보니 다음과 같은 얘기를 함
- 솔직히 이건 말이 안됨. 왜 이걸 몇년간 알고 있으면서 유출된 키를 사용하고 있지?
- 이미 판매된 휴대폰을 업데이트 하는데 어려움이 있을수도 있지만, 2016년 이후로 삼성은 수많은 기기를 새로 만들었음. 이미 몇년전에 새로운 키로 OS빌드를 했어야 할 것 같은데..
- 안드로이드 보안팀에서는 "이 키 유출건에 대해서 보고하자, OEM파트너들이 대응 조치를 구현했다. 또한 Build Test Suite에서도 멀웨어를 감지하고 있고, 구글 플레이도 역시 멀웨어를 감지하고 있음" 라고 얘기는 하고 있음
- OEM들은 빨리 손상된 키를 교체하여야 할 것. 삼성이 왜 아직 해당 키를 계속 사용하는지는 명확하지 않음
- 안드로이드의 APK Signature Scheme V3를 이용하면 개발자가 업데이트만으로 앱 키를 변경이 가능
- 구글 플레이는 V3를 강제하지만, 일부 OEM들은 아직 V2를 이용중
https://news.einfomax.co.kr/news/articleView.html?idxno=4245304
이거 뜨고 몇일만에... 페이코 서명키 사태가 시끌 시끌하군요.
근데 ... 왜 이건은 조용하죠? ㅋㅋ..
APK signature scheme v3는 사용 가능하지만,
- 현재 안드로이드 앱은 app bundle형식으로 업로드된 후 구글에 제공한 서명키로 Google Play에서 서명됨
- APK scheme v3에서 서명키를 돌려막는 기능은 옵션은
- Google Play에서는 아직 key rotation 을 지원하지 않음.
작년부터 key rotation기능이 곧 제공될거라고 커밍순이라고 한지가 어언 1년반이.넘었습니다