코르도바의 보안 버그로 인해 단일 URL 클릭으로 안드로이드 앱이 변조될 수 있음

아파치 코르도바 개발 프레임워크의 보안 결함으로 인해 안드로이드 앱에 악의적인 주입이 가능할 수 있습니다.

안드로이드 애플리케이션을 개발하는 데 사용되는 장치 API 내부에서 심각한 보안 결함이 발견되었습니다.

아파치 소프트웨어 재단(The Apache Software Foundation)에서 개발한 아파치 코르도바는 모바일 앱 개발자가 자바스크립트에서 가속도계 및 카메라와 같은 네이티브 장치 기능에 접근할 수 있도록 하는 장치 API 도구 세트입니다.

이 API는 다양한 기능에 호소하기 위해 자바스크립트 라이브러리를 제공합니다. 이를 코르도바와 함께 사용하면 CSS, HTML 및 자바스크립트와 같은 웹 기술을 사용하여 모바일 앱을 구축할 수 있습니다. 이 서비스는 윈도우폰, 안드로이드, iOS, 블랙베리, 바다, 팜 웹OS 및 심비안 플랫폼과 호환됩니다.

코르도바는 이번 주에 게시된 보안 공지에서 API 플랫폼에서 “주요” 보안 문제가 발견되었다고 인정했습니다.

T 렌드마이크로 모바일 위협 연구팀(TRT)에 의해 확인된 이 보안 취약점은 공격자가 URL을 클릭하는 것만으로도 안드로이드 앱의 동작을 수정할 수 있도록 합니다. 수정으로 인한 피해는 앱이 완전히 충돌하는 것부터 사용자에게 불편을 초래하는 것까지 다양합니다.

이는 C ordova 프레임워크를 사용하여 구축된 안드로이드 앱의 Config.xml에 명확하고 상세한 값이 설정되지 않은 결함 때문이며, 이는 위협 행위자가 정의되지 않은 보조 구성 변수를 삽입할 수 있는 기회를 만듭니다. 재단에 따르면, 이는 “애플리케이션에 원치 않는 대화 상자가 나타나고 앱이 강제로 종료되는 등의 애플리케이션 동작 변경”을 초래할 수 있습니다.

CVE-2015-1835로 분류된 이 보안 취약점은 완전히 활용하기 위해 특정 조건이 필요합니다. 앱의 요소 중 적어도 하나는 코르도바의 루트 활동인 — CordovaActivity — 에서 확장되어야 하며, 코르도바 프레임워크는 프레임워크의 Config.java 시스템이 제대로 보호되지 않도록 간섭해야 합니다. 또한, Cordova에서 지원하는 기본 설정 중 적어도 하나는 구성 파일 config.xml에 정의되지 않아야 합니다. TRT는 다음과 같이 말합니다:

“우리는 이 취약점이 매우 악용될 가능성이 높다고 믿습니다. 성공적인 악용을 위해 충족해야 하는 조건이 일반적인 개발자 관행이기 때문입니다. 대부분의 코르도바 기반 앱은 ‘CordovaActivity’를 확장하며, 모든 기본 설정을 명시적으로 정의하는 경우는 매우 드뭅니다.

게다가, 코르도바 명령줄 인터페이스(CLI)에서 빌드된 모든 코르도바 기반 앱은 앞서 언급한 악용 전제 조건을 자동으로 충족하므로 모두 취약합니다.” TRT는 “우리의 연구에 따르면 기본 활동이 제대로 보호되지 않고 기본 설정이 기본값으로 설정된 경우 공격자가 이러한 기본 설정을 변경하고 앱 자체의 모양과 동작을 수정할 수 있습니다.”라고 설명했습니다. 앱의 모양이 변경될 수 있으며, 팝업, 광고 및 스플래시 화면이 앱의 인터페이스에 삽입될 수 있고, 앱의 기본 기능이 간섭을 받을 수 있으며, 보안 결함으로 인해 앱이 강제로 종료될 수 있습니다.

코르도바 기반 앱의 대다수는 구글 플레이의 모든 앱 중 5.6%를 차지하며, 이는 보안 팀에 의해 강조된 사실입니다.

이러한 보안 문제를 해결하기 위해 코르도바는 API 세트의 4.0.2 버전을 출시하고 있습니다. 또한 코르도바 4.0x 이상으로 구축된 모든 안드로이드 애플리케이션은 코르도바 안드로이드의 4.0.2 버전으로 업그레이드해야 한다고 제안합니다. 이전 버전의 코르도바를 사용하고 있는 모바일 앱 개발자도 동일한 보안 문제를 해결하기 위해 3.7.2로 업그레이드할 수 있습니다. 다른 플랫폼은 이 취약점의 영향을 받지 않는 것으로 여겨집니다.