제 PC에는 백신프로그램으로는 시만텍의 노턴 안티바이러스(NAV)를 사용중입니다.  NAV는 월 마다 PC 사용중 발생했던 공격 보고 기록(월별 리포트)을 보여주는데. 공격기록에 대한 상세정보를 보기위해 접속한 시만텍 사이트에서 새로 생겨나는 바이러스 목록을 보던 중 조금 놀라운 사실을 알았습니다.  바로 안드로이드 OS 트로이목마 멀웨어(malware)가  데일리 리포트에 보고 되고 있었던 것입니다. 물론 이전에도 안드로이드 OS용 트로이목마 기사를 보긴 했지만 이렇게 본격적으로 상용업체에서 관리하고 있는 단계인줄은 몰랐던거죠.


시만텍사이트에 보고된 안드로이드 트로이목마 앱


  사실 안드로이드 OS는 리눅스커널을 기반으로 만들어진 또 하나의 리눅스 OS입니다. Unix like OS 라고도 합니다. Unlx like OS들은 초기 부터 멀티유저 개념으로 출발하여 사용자들간의 접근권한 및 관리자권한 등이 확실히 분리되어 있습니다. 이런 권한 구조를 따르는 안드로이드 OS 또한 추가 설치되서 실행되는 모든 프로그램은  일반 유저수준의 권한 수준만을 갖기 때문에 MS Windows  처럼 악성 프로그램이 시스템영역을 마음데로 접근하여  자신을 복제하거나 임의 경로에 설치를 하는 등의 바이러스 형태는 존재 하기 어렵습니다. (물론 악성 프로그램이 Root 권한마저 갖게된다면 훨씬 치명적인 문제가 발생할 수 는 있습니다.)

  -- 이러한 이유로 MS도  Windows Vista 부터는 UAC( User Access Control) 이라는 사용자과 관리자 권한을 분리시키는 방식을 도입해서 이전 XP 때와 같은 유형의 바이러스 위협은 상대적으로 줄었습니다. --

 하지만 안드로이드 OS에서 구동되는 애플리케이션도 시스템파괴는 하지 못하더라도 사용자의 정보를 몰래 빼내거나 할 수는 있습니다. 왜냐면 그러한 정보들은 일반 사용자 수준에서도 충분히 가져갈 수 있기 때문입니다. 물론 안드로이드 보안체계에서 이런 위험성을 막기위해 설치단계에서 애플리케이션이 획득하게 되는 권한에 대해서 허용 여부를 물어보지만 우리는 으례 승인해주기 마련입니다.  특히나 해당앱이 게임이라면 빨리 하고 싶은 마음에 거의 권한 승인 요청내용은 눈에 들어 오지도 않죠.

다음은 안드로이드 애플리케이션이 설치될때 최종 권한 부여 여부를 묻는 화면입니다.


안드로이드폰을 사용중이면서 안드로이드 마켓에서 애플리케이션을 다운로드 하여 설치 경험이 있다면 위와 같은 화면을 보았을 것입니다.  이때 여러분은 사용하려는 애플리케이션의 성격과 획득하려는 권한 사이에 괴리가 없는지 유심히 보아야 합니다. 권한부여에서 개인정보(연락처)와 네트워크 통신 권한을 획득하게 되면 해당 애플리케이션은 프로그램이 실행되고 네트워크만 연결된 상태라면 언제든 사용자의 연락처정보를 어딘가로 송신해버릴 수 있습니다. 

  만일 간단한 게임프로그램을 내려받아 설치하려는데 여러분의 개인정보와 네트워크 그리고 위치정보(GPS) 권한을 요청한다면 여러분은 어떻게 하시겠습니까?  

실제로 이러한 권한을 획득하여 게임을 하고 있는 사이 나도 모르게 위치정보를 송신하는 트로이목마 애플리케이션이 시만텍보고를 통해 알려진 경우가 있었습니다. 해당 애플리케이션은 TapSnake  입니다.

이 게임은 고전적인 게임으로  뱀 모양이 캐릭터가 화면에 등장에서 열매를 따먹으면서 자신의 길이를 늘려나가는 게임입니다. 그런데 이게임은 스마트폰 소유자가 게임을 하고 이동을 하는 동안 몰래 사용자의 위치를 매 15분마다 송신하고 있었습니다.

다음은 게임 화면입니다. 화면 상단을 잘 보세요.

이 게임은 어뚱하게도 게임을 하는 동안 위성모양 아이콘이 보입니다. 이 아이콘은 안드로이드 폰에서 GPS를 이용하고 있을때 나타나는 아이콘 모양입니다. 즉 GPS 값을 읽어 내고 있다는 뜻 입니다. 그리고 지금 네트워크에도 접속된 상태이구요. 게임을 하는 동안 사용자의 위치를 몰래 송신하고 있는 것입니다.

이렇게 송신된 데이터는  GPS Spy라는 앱으로 확인이 가능합니다. 이것은 해당 앱이 폰에 저장된 소유자의 이메일 정보까지 읽어내어 위치 좌표값과 같이 송신을 하기 때문에, 위치를 알고자하는 사람은 대상의 이메일 주소만 알고 있으면 추적할 수 있게 되는 것입니다.


그림을 보면 위치 이동이 추적되고 있습니다.

그러데 이 게임 앱은 종료를 시키더라도 종료되지 않고 백그라운드 서비스로 동작 합니다.
아래 그림은 서비스로 동작하고 있는 상태를 보여주는 그림입니다.



  이런앱은 누군가의 몰래 이동경로가 알고 싶을때 "이 게임 한번 해봐, 재밌어!" 라고 소개하면서 파일을 보내고 받아서 의심없이 설치했을때는 꼼짝없이 당할 수 도 있습니다. (예를 들면 배우자가 의심되거나? 애들이 학교 갔다 딴데로 새는 지 궁금할때 활용(?)  될 수 도 있습니다. 우스게 ^^ )


이러한 위협으로 부터 내정보를 지키려면 어떻게 해야 할까요?
안드로이드폰 사용자는 아래 몇가지 정도는 염두해두시길 바랍니다.


1. 가급적 널리 확인된 유명한 애플리케이션만 설치한다.
2. 설치되는 애플리케이션이 내가 기대하는 기능에 맞는 권한을 요청하는지 확인한다.
3. 불필요하게 백그라운드로 동작 중인 프로그램은 수시로 확인하여 종료 시킨다.
4. 가급적 apk 파일 상태로 배포되는 프로그램은 설치하지 말고, 안드로이드 마켓을 이용 한다.




  편리한 목적으로 사용하는 스마트폰, 편리해지려고 하는 만큼 댓가도 따르는 걸까요? 

 안드로이드 OS는 개방적인 덕분에 구글의 안드로이드 마켓뿐 아니라 다양한 추가적인 애플리케이션 마켓을 적용할 수 있으며, 단독 패키지 파일(Apk)도 쉽게 설치가 가능해서 아이폰이나 앞으로 출시하는 윈도우폰7 에 비해서 애플리케이션 유통이 매우 편리하다는 장점이 있습니다.  하지만  이러한 것을 악용하는 크래커(악성해커)들이 늘어날 수 있다는 것을 항상 염두 해두시기 바랍니다.   물론 다른 스마트폰OS들도 안심할 수 는 없습니다. 스마트폰 뿐아니라 인터넷 디지털디바이스를 사용하는 이들이라면 항상 보안에 대해서는 염두하는 자세가 필요하다는 생각이듭니다.


Posted by 퍼니로거 즐건록


가장 간단하게 탈옥할 수 있는 방법을 제공하는 Jailbreakme.com은 접속 후 화면에 보이는 [Slide to jailbreak]슬라이드를 한번만 밀어주면 사파리 브라우저 상에서 바로 필요한 파일들을 서버에서 내려받아 설치해주는 아주 놀라운 서비스(?)를 제공한다. 단 탈옥하는데 걸리는 시간도 2분이면 완료 된다. 

이를 이용해 애플 스토어에 전시된 아이폰4를 탈옥시켜버린. 재밌는(?) 사건도 있었다.

  이러한 iOS의 기본 사파리 웹브라우져를 통해서 특정한 파일을 내려받아 설치한다는것은 그 어디서도 볼 수 없었던 놀라운 기능이었는데 (심지어 애플조차도 이를 이용하지 못했던 기능이니까)

이러한 것이 가능 하다는게 참으로 놀랍고도 궁금했다.




 
그런데 알고 보니 해답은 바로 사파리 브라우저의 보안에 구멍이 있었다는 것이었다.

노턴 안티바이러스로 유명한 시만텍은 8월 4일 아이폰,아이팟터치,아이패드의 공통 웹 브라우저인사파리에서 PDF를 열려고 할때  기기의 제어를 통째로 넘겨줄 수 도 있는 심각한 보안 위험이 있다고 경고했다.

하지만 이는 한발 늦은 경고로  Jailbreakme.com 이미 이러한 헛점을 이용하고 있었다.

관련해서 애플측에서도 이러한 사실을 알고 있어서 현재 iOS4.1에서는 패치되어 있지만 현재 해당 버전은 베타버전 상태여서, 현재로서 최선은 "사파리브라우저의 사용을 자제하고 오페라 브라우저를 사용하라" 정도 밖에는 방법이 없다.

그런데 재밌게도 그동안 보안의 헛점이라는 탈옥을 한 아이폰에서는 시디아(Cydia)를 통해 "PDF Loading Warner" 를 설치하면 PDF 로딩 시점에 미리 경로를 주어 사전에 감지 할 수 있도록 하는 도움을 주고 있다. 그러나 순정상태의  아이폰에서는 아무런 대책이 없다.

 
 이로인해 그동안 아이폰이 가장 폐쇄적이기는 하나 대신 가장 안전하다는 주장을 하던 측에서는 적잖이 당황스러울 수 밖에 없는 상황이라고 보여진다.

Posted by 퍼니로거 즐건록