10억 대 이상의 안드로이드 기기에 이러한 취약한 앱이 설치되어 있습니다

Microsoft Threat Intelligence 팀의 보안 연구원들은 여러 인기 안드로이드 애플리케이션에서 “더러운 스트림” 공격이라는 경로 탐색 관련 취약점을 공개했습니다.

이 취약점은 악성 앱이 취약한 앱의 홈 디렉토리에 있는 임의의 파일을 덮어쓸 수 있게 할 수 있습니다.

수요일에 발표된 보고서에서 Microsoft Threat Intelligence 팀의 Dimitrios Valsamaras는 “이 취약점 패턴의 의미는 애플리케이션의 구현에 따라 임의 코드 실행 및 토큰 도난을 포함합니다.”라고 말했습니다.

그는 “임의 코드 실행은 위협 행위자가 애플리케이션의 동작을 완전히 제어할 수 있게 할 수 있습니다. 한편, 토큰 도난은 위협 행위자가 사용자의 계정 및 민감한 데이터에 접근할 수 있게 할 수 있습니다.”라고 덧붙였습니다.

이 발견은 구글 플레이 스토어의 여러 취약한 앱에 영향을 미쳤으며, 40억 회 이상의 설치를 나타냅니다.

문제에 취약한 앱 중 두 개는 10억 회 이상의 설치가 이루어진 Xiaomi Inc. 파일 관리자(com.mi.Android.globalFileexplorer)와 5억 회 이상의 다운로드가 이루어진 WPS Office(cn.wps.moffice_eng)입니다.

안드로이드 운영 체제는 각 애플리케이션에 전용 데이터 및 메모리 공간을 할당하여 격리를 시행하며, 특히 콘텐츠 제공자 구성 요소와 다른 설치된 애플리케이션과의 안전한 데이터 및 파일 공유를 용이하게 하는 ‘FileProvider’ 클래스를 포함합니다.

잘못 구현될 경우, 애플리케이션의 홈 디렉토리 내에서 읽기/쓰기 제한을 우회할 수 있는 취약점을 도입할 수 있습니다.

“이 콘텐츠 제공자 기반 모델은 잘 정의된 파일 공유 메커니즘을 제공하여, 제공 애플리케이션이 다른 애플리케이션과 파일을 안전하게 공유할 수 있도록 세밀한 제어를 가능하게 합니다.”라고 Valsamaras는 언급했습니다.

“그러나 우리는 소비 애플리케이션이 수신하는 파일의 내용을 검증하지 않는 경우를 자주 접했고, 가장 우려되는 점은 제공 애플리케이션이 제공한 파일 이름을 사용하여 소비 애플리케이션의 내부 데이터 디렉토리에 수신된 파일을 캐시하는 경우입니다.”라고 덧붙였습니다.

악성 코드 실행은 위협 행위자가 애플리케이션의 동작을 완전히 제어하고, 민감한 데이터에 접근하기 위해 자신의 제어 하에 있는 서버와 통신하도록 만들 수 있습니다.

Microsoft의 책임 있는 공개 정책의 일환으로, 이 회사는 더러운 스트림의 영향을 받은 안드로이드 앱 개발자와 발견 사항을 공유했습니다. 예를 들어, Xiaomi, Inc.와 WPS Office 보안 팀은 이미 문제를 조사하고 수정했습니다.

그러나 이 회사는 더 많은 애플리케이션이 동일한 보안 약점으로 인해 영향을 받을 수 있다고 믿고 있습니다. 따라서 모든 개발자가 연구 결과를 분석하고 자신의 제품이 영향을 받지 않도록 할 것을 권장합니다.

“우리는 이 취약점 패턴이 다른 애플리케이션에서도 발견될 수 있다고 예상합니다. 우리는 개발자와 퍼블리셔가 유사한 문제에 대해 자신의 앱을 점검하고 적절히 수정하며 새로운 앱이나 릴리스에 이러한 취약점을 도입하지 않도록 예방할 수 있도록 이 연구를 공유하고 있습니다.”라고 Valsamaras는 덧붙였습니다.

이 취약점 패턴이 광범위할 수 있음을 인식하여, Microsoft는 구글의 안드로이드 애플리케이션 보안 연구 팀과도 발견 사항을 공유했습니다.

검색 거인은 개발자들이 이 취약점 패턴을 자신의 앱에 도입하지 않도록 돕기 위해 안드로이드 개발자 웹사이트에 기사를 게시했습니다.

한편, 사용자는 신뢰할 수 있는 출처에서 안드로이드 기기와 설치된 앱을 최신 상태로 유지하여 위험을 완화할 수 있습니다.