안드로이드 OEM 서명 키 유출, 악성 앱(apk) 다운로드 주의
│
*
안드로이드 OEM 서명 키 유출, 악성 앱(apk) 다운로드 주의
삼성, LG, 미디어텍을 포함한 많은 안드로이드 OEM 에서 플랫폼 서명 키가 유출되었습니다.
XDA Developers는 삼성, LG, MediaTek, Revoview와 같은 플랫폼 인증서 중 다수가 유출되어 멀웨어 서명에 사용된 것으로 보인다고 보도했습니다. 이는 OTA 업데이트가 아닌 앱 업데이트에서만 적용된다고 합니다.
개발자의 서명 키는 안드로이드 스마트폰 보안의 핵심 프로세스 중 하나로 항상 비공개로 유치되어야 하고, 기기의 안드로이드 버전과 설치된 개별 앱이 합법적임을 보장합니다. 따라서 안드로이드에서는 운영체제와 동일한 서명 키를 공유하는 모든 앱은 정상이라고 판단합니다.
안드로이드에서는 앱을 업데이트 할 때 마다 이전 앱의 서명 키와 일치해야합니다, 그래야 업데이트가 원래 앱을 만든 회사에서 제공하는 것임을 확인할 수 있습니다.
개발자 서명 키가 유출되면 누구나 악성 앱 업데이트를 배포할 수 있고, 안드로이드는 이를 정상적인 앱 업데이트로 간주합니다.
출처 : https://www.xda-developers.com/android-oem-key-leak-samsung-lg-mediatek
개발자 서명 키 유출 사례
5일 보안솔루션 기업 에버스핀은 KB국민은행, NH농협은행 등 고객사 30여 곳에 페이코 서명키가 유출됐다는 공문을 보냈다. 에버스핀에 따르면 유출된 서명키를 통해 제작된 악성 앱은 현재 5144건이다.
ㆍ
ㆍ
ㆍ
에버스핀 측은 유출 경로로 구글 플레이스토어 계정 유출, 관리자 PC의 해킹, 기타 관리자 부주의 등을 추정했다. 만약 구글 플레이스토어 계정이 유출됐거나, 관리자 컴퓨터가 해킹됐을 경우 해커가 앱마켓에 등록된 페이코 앱을 악성 앱으로 바꿔치기해 문제가 더욱 심각해질 것으로 보인다.
APK 공유 사이트 사용금지
현재 웹 사이트에 공유하는 apk의 경우 서명이 불명확 하거나 일부 공유 앱에 불법 프로그램이 있을 수 있습니다.
흔히 우리가 알고 있는 apkmirror 사이트와 구글에서 검색한 apk 파일은 사용하지 않는 것이 좋습니다.
특히 apkmirror 사이트에 올라오는 apk의 경우 국내 앱 한정이 아닌 각 국가별 지원하는 범위가 다른 apk가 올라오기 때문에 해당 앱을 설치함으로 국내 서비스 제한 및 심각한 경우 메인보드 손상의 결과를 초례할 수 있습니다.
* 예시로 최신 업데이트 한 삼성페이를 해외 버전으로 설치 후 녹스 보안솔루션 작동으로 삼성페이 사용 불가 이슈(네이버 카페 사례 중)
본인이 사용하고자 하는 앱의 경우 플레이스토어 및 갤럭시 스토어를 통한 공식적인 루트를 통해 다운로드 하여 사용하시길 권장드립니다.
'새로운정보' 카테고리의 다른 글
| 삼성디스플레이, 'CES 2023'서 미래형 혁신 제품 대거 전시 (3) | 2023.01.03 |
|---|---|
| 삼성 갤럭시 S23 시리즈 홍보 자료 유출 (1) | 2022.12.26 |
| 삼성 갤럭시 S23 시리즈 액세서리 목록 유출 (0) | 2022.12.01 |
| 삼성전자, ‘갤럭시 Z 플립4 메종 마르지엘라 에디션’ 온라인 한정판매 진행 (0) | 2022.11.29 |
| 삼성 갤럭시와 함께 밝은 시너지를 만드는 사람들, ‘삼성 멤버스 스타즈’ 발대식 현장 속으로 (1) | 2022.11.29 |
