중국어, 영어, 한국어로 된 콘텐츠 일부를 자동으로 차단하는 기능도 있어
[보안뉴스 문가용 기자] 안드로이드용 모바일 애플리케이션 수천 개에서 백도어와 블랙리스팅과 같은 ‘숨겨진 기능’이 발견됐다. 스마트폰과 각종 애플리케이션들은 우리 생활 속으로 밀접하게 파고들어 오고 있지만, 개발자들이 마음먹고 기능을 숨긴다면 대부분의 사용자들은 위험에 노출될 수밖에 없다.
[이미지 = iclickart]
이에 오하이오주립대학과 뉴욕대학, CISPA의 보안 전문가들이 새로운 도구를 개발했다. 사용자 입력값 검증 절차의 실행 컨텍스트(execution context)와, 검증 과정을 거치는 콘텐츠를 자동으로 탐지함으로써, 숨어 있는 은밀한 기능들을 찾아내는 것이라고 한다.
이 도구의 이름은 인풋스코프(INPUTSCOPE)로 약 15만 개의 안드로이드 애플리케이션들을 동원한 실험 과정을 겪었다. 물론 전부 공식 구글 플레이를 통해 유통되고 있는 앱들이지만, 서드파티 시장에서 거래되는 앱 2만 개와 장비들에 미리 설치되는 앱 3만 개도 포함되었다. 주로 삼성 스마트폰 펌웨어에서 추출된 앱들이라고 한다.
연구원들은 이 실험의 연구 결과를 백서 형태로 발표하기도 했다. “실험을 진행하면서 모바일 앱들에 있는 입력값 검증 기능을 통해 백도어나 블랙리스팅과 같은 은밀한 기능들을 발동시킬 수 있다는 것을 알아냈습니다. 게다가 입력값에 따라 나타나는 비밀 기능들이 안드로이드 앱들에 굉장히 많이 심겨져 있다는 것도 파악할 수 있었습니다.”
인풋스코프가 발견한 은밀한 기능들
연구에 따르면 백도어 관련 비밀을 가지고 있는 앱들이 12706개로 8.47%를 차지하고 있었다. 백도어 관련 비밀이란 ‘비밀 접근 키’, ‘마스터 패스워드’, ‘관리자 전용 명령에 대한 접근 권한’ 등을 말한다. 블랙리스팅 관련 비밀을 가지고 있는 앱들은 4028개로 2.69%인 것으로 나타났다. 블랙리스팅과 관련된 비밀이란, 키워드 등을 통해 특정 콘텐츠를 자동으로 차단하는 기능으로, 검열이나 사이버 불링, 차별 행위를 위해 사용되고 있었다고 한다.
또한 애플리케이션의 관리자 인터페이스에 접근하게 해주는 접근키도 상당수 드러났다. 일반 사용자가 변경할 수 없는 환경 설정 옵션들에 마음대로 접근할 수 있게 해주는 인터페이스였다. 이를 통해 사용자들의 비밀번호를 복구하거나(훔치거나) 바꾸는 게 가능하고, 심지어 앱 내 서비스 구매를 무료로 할 수 있게 해주기도 한다. 이런 인터페이스가 앱에 숨겨져 있다가 공격자들에게 발견되면 사용자는 꽤나 큰 어려움을 겪을 수 있다.
뿐만 아니라 ‘마스터 패스워드’도 수백 개씩 드러났다. 이런 정보 역시 앱에 숨겨져 있다는 것 자체가 커다란 위협이 될 수 있다. 디버깅을 시작하게 하는 명령어들과 각종 숨겨진 기능을 활성화시키는 명령어들도 여러 앱들에 숨어 있었다. 이는 일반 앱 사용자들은 접근할 수 없는 것들이다.
연구원들이 발견한 블랙리스팅 기능은 중국어, 영어, 한국어로 된 콘텐츠를 차단하고 있었다. 무려 1만 개가 넘는 차단 목록을 가진 블랙리스트도 있었고, 고작 7개가 전부인 것도 있었다.
“인풋스코프가 발견한 숨겨진 기능들은 앱 사용자들은 물론 개발자들에게도 심각한 결과를 초래할 수 있습니다. 개발자들이 반드시 패치를 해서 해결을 해야 합니다.” 연구원들은 연구 결과를 공개함과 동시에 해당 개발사들에 따로 연락을 취했으나, 실질적인 성과를 거두지는 못했다고 한다. “답장을 보내거나 조치를 취한 개발사는 얼마 되지 않았습니다.”
보다 상세한 연구 결과는 이 문건(https://web.cse.ohio-state.edu/~lin.3021/file/SP20.pdf)을 통해 열람이 가능하다.
3줄 요약
1. 수천 개의 안드로이드 앱에 숨겨진 기능이 있다는 게 발견됨.
2. 백도어가 될 수 있는 기능과, 특정 콘텐츠를 자동으로 차단하는 블랙리스트 기능이 대표적.
3. 사용자와 개발자 모두에게 심각한 결과 초래할 수 있으나 해결의 열쇠를 쥐고 있는 건 개발자.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>