The Register에 올라온 글로 독일의 Ulm 대학의 연구에 의하면 안드로이드 장치의 99%가 공격자에 의해 쉽게 계정 해킹이 가능하다고 합니다.
안드로이드는 ClientLogin이라는 인증 프로토콜을 제공하는데 트위터, 페이스북, 구글 캘린더와 연락처 등이 이 프로토콜을 이용하고 있습니다.
이 프로토콜을 이용해 로그인을 했을 때 얻어진 인증 토큰은 암호화되지 않은 평문(cleartext)이라고 하며 해당 토큰을 얻은 후에는 14일동안 해당 서비스를 이용할 수 있다고 합니다.
따라서 이 토큰을 공격자들이 얻게 되면 사용자의 계정에 접속할 수 있게 되는 것이지요. (좀 더 설명을 드리자면 처음에 아이디와 비밀번호를 입력해 서비스에 접속을 하면 인증 토큰을 받고 그 이후부터는 인증 토큰으로 서비스를 이용하게 되는 것입니다.)
연구자들은 이런 공격으로 구글 서비스를 해킹하는게 가능한지 알기위해 연구를 시작하였고 이것이 가능하며 매우 간단했다고 밝혔습니다.
실험자들은 먼저 T-Mobile, attwifi, starbucks와 같은 일반적인 SSID로 와이파이 액세스 포인트를 만들었고
(우리나라로 치면 Nespot, ollehWiFi, T wifi zone 등으로 생각하면 됩니다)
안드로이드 폰들은 이미 알고있는 네트워크에 대해서는 자동 접속을 하고 동기화를 시작하게 됩니다.
이때 공격자는 동기화를 시도하는 각 서비스에 대해 인증 토큰을 수집하면 끝입니다.
ClientLogin을 사용하는 앱들은 당장 암호화된 https 경로를 이용해야한다고 연구자들은 밝혔습니다. 또 가장 안정된 인증 프로토콜로 알려진 oAuth도 이 공격을 막을 수 있지만 동기화 데이터 또한 수집되는 것을 막을려면 https가 사용되어야 합니다.
또 구글이 인증토큰이 유효한 기간(현재는 14일)을 줄이고 http 접속을 통한 인증 요청은 거부해야한다고 제안했습니다.
안드로이드 2.3.4부터 인증토큰이 암호화되어 전송되는데 이 버전을 지원하는 단말이 1%밖에 없어 99%는 위험성에 노출되어 있습니다. 또 수정된 이 버전(2.3.4)에서도 Picasa 웹 앨범 동기화에서는 민감한 데이터들이 암호화되지않고 전송이되는 문제가 있다고 합니다. 구글도 이 문제를 알고 있고 수정중이라고 합니다.
생각해보면 지금 당장이라도 Nespot이나 T Wifi Zone, iptime 등으로 AP만들고 자동접속하는 단말들의 계정정보를 얻는게 가능한데 심각한 문제로 보입니다.
현재로썬 이 문제를 방지하려면 와이파이에 자동으로 접속하지 않도록 하고 공개된 비보안 와이파이를 사용하지 않는게 최선으로 보입니다. 안드로이드는 많은 단말들이 OS 업데이트의 혜택을 받지 못하는 문제가 있는데 새 버전에서의 기능추가뿐만 아니라 보안에서의 취약점을 해결하지 못하는 것은 지속적으로 문제가 될 것 같습니다. 현재 업데이트 지원이 끝나버린 스마트폰들이 수두록한데 이 폰들은 계속 위험을 가지고 사용을 해야한다는 거죠. 구글이 따로 설치가능한 패치를 제공해야하지 않을까 싶네요.
[참조]
99% of Android phones leak secret account credentials – The Register
Android’s Personal Data Leakage Problem – Gizmodo
99 Percent Of Android Devices Are Vulnerable To Password Theft – TechCrunch