여러 안드로이드 앱이 잘못된 구성으로 인해 1억 명이 넘는 사용자의 민감한 데이터를 유출해 잠재적으로 악의적인 공격자의 수익성 있는 표적이 되었다.

보안기업 체크포인트 연구원이 20일 발표한 자료에 따르면 “애플리케이션에 타사 클라우드 서비스를 구성하고 통합할 때 모범적 사례를 따르지 않아 수백만 명의 사용자 개인 데이터가 노출되었다”고 말했다.

이어 그는 “경우에 따라 이러한 유형의 잘못된 사용은 사용자에게만 영향을 주지만 개발자도 취약하게 남아 있다. 잘못된 구성으로 인해 사용자의 개인 데이터와 개발자의 내부 리소스(예: 업데이트 메커니즘, 저장소 등에 대한 액세스)가 위험에 처하게 된다”고 덧붙였다.

더해커뉴스에 따르면, 이번 조사 결과는 공식 구글 플레이 스토어에서 제공되는 23개의 안드로이드 애플리케이션에 대한 연구에서 나왔으며, 그 중 일부는 Astro Guru, iFax, Logo Maker, Screen Recorder 및 T’Leva와 같이 1만에서 1천만에 이르는 다운로드를 기록한 것들이라고 보도했다.

체크포인트에 따르면, 이 문제는 실시간 데이터베이스, 푸시 알림 및 클라우드 스토리지 키를 잘못 구성하여 이메일, 전화번호, 채팅 메시지, 위치, 비밀번호, 백업, 브라우저 기록 및 사진이 유출되는 결과로 이어진다.

연구원들은 인증 장벽 뒤에 있는 데이터베이스를 보호하지 않음으로써 운전자와 승객 사이에 교환되는 메시지는 물론 탑승자의 성명, 전화번호, 목적지 및 목적지 등 앙골라 택시 앱 T’Leva 사용자의 데이터를 얻을 수 있다고 말했다.

또한 연구원들은 앱 개발자가 푸시 알림을 전송하고 앱에 직접 클라우드 스토리지 서비스에 액세스하는데 필요한 키를 내장하고 있음을 발견했다. 이를 통해 악의적인 사용자가 개발자를 대신해 모든 사용자에게 불량 알림을 쉽게 보낼 수 있을 뿐만 아니라 의심하지 않는 사용자를 피싱 페이지로 유도하는데 악용될 수 있으므로 보다 정교한 위협의 진입점이 된다.

마찬가지로 클라우드 스토리지 액세스 키를 앱에 내장하면 공격자가 클라우드에 저장된 모든 데이터를 확보할 수 있는 다른 공격의 문을 열 수 있다. 이는 Screen Recorder와 iFax 두 앱에서 관찰된 행위로 화면 녹화 및 팩스 문서에 액세스할 수 있게 해준다.

체크포인트는 이번 공개에 대응해 일부 앱만이 구성을 변경했다고 언급했다. 이는 도난 당한 암호를 사용해 다른 계정에 부정하게 액세스하도록 하는 것은 물론 다른 앱의 사용자가 사기 및 신원 도용과 같은 가능한 위협에 계속 노출되기 쉽다는 것을 의미한다.

체크포인트 모바일 리서치 담당자는 “궁극적으로 피해자들은 사칭, 절도, 피싱, 서비스 스위프 등 다양한 벡터에 취약해진다”며 “애플리케이션 개발자들이 데이터뿐 아니라 개인 사용자의 데이터를 위험에 빠뜨리고 있다"고 말했다.

★정보보안 대표 미디어 데일리시큐!★