삼성의 안드로이드 서명 키가 유출되어 멀웨에서 사용 되었습니다

조회 수 2768 댓글 12

Extra Form
참고/링크	https://arstechnica.com/gadgets/2022/12/...n-malware/

키 유출 자체는 6년 전에 되었는데 아직도 바꾸지 않았다고 합니다

삼성과 구글은 플레이 프로텍터와 펌웨어로 보완이 가능하니 문제 없다는 입장입니다

하지만 apk 사이드로딩으로 멀웨어 설치가 가능하다고 합니다

6년전 유출이 된 키를 왜 지금까지 사용하는지는 잘 모르겠지만 이 서명 키는 인드로이드시스템 전체를

서명하는 키이며 이것을 이용하면 어플을 시스템 권한으로 실행이 가능한 큰 보안 결함이라 하네요

삭제 요청

Prev 애플, 인도에서 아이패드 생산? 중국 공장은 12월 말에 정상화 애플, 인도에서 아이패드 생산? 중국 공장은 12월 말에 정상화 2022.12.06by 낄낄 사파리에서 웹페이지를 도서로 저장시 이미지 일부가 블러처... Next

사파리에서 웹페이지를 도서로 저장시 이미지 일부가 블러처... 2022.12.05by 아라오라1

목록 스크랩

위로 아래로 댓글로 가기

Comments '12'

Retribute 안녕하세요. 행복한 하루 되세요. https://blog.naver.com/wsts5336 2022.12.05 17:42

아.. 그저.. 한결같다! 똥드로이드!
?
라데온HD6950 봇치 더 락! 2기 기원 / 2700X + 6700 XT Owner 2022.12.05 17:57

이거보고 LG 찬양했습니다
무명인사 Just freak out, let it go 2022.12.05 18:24

LG 키도 털렸습니다
0.1 글 못쓰는 문과 / 딜을 넣읍시다 딜 2022.12.05 19:50

둘 다 유출되었으니 LG도 삼성급이다! 하면서 찬양하셨을수도...(응?)
?
라데온HD6950 봇치 더 락! 2기 기원 / 2700X + 6700 XT Owner 2022.12.05 20:09

엄ㅁㅁ...
니아옹이 2022.12.05 18:10

삼성답네요.
그리고 요새 유튜브 광고에 사기꾼이 등장하던데 Don't be evil은 어디가고 돈만 보는 evil이 되어 가나요?
AbsolJu 2022.12.05 18:19

이거 삼성, LG 등 대기업부터 시작해서 OEM납품 중소기업까지 다들 털려있는 상태인가 보더라고요. 알려진 서명키만 10개 넘던가 했던거 같은데 뭔가 다른 유출 경로가 있나…
?
Blackbot 2022.12.05 18:21

유출된데가 제조사로는 삼성과 LG 그리고 중소 OEM과 AP제조업체로는 미디어텍까지 털렸네요
구글도 크게 심각하게 안보는걸 보면 구글도 별생각 없는게 아닐까 하는....
슬렌네터 Human is just the biological boot loader for A.I. 2022.12.05 18:28

삼성 구글 보안수쥰
Quinoa 힘세고 강한 슈퍼곡물! 2022.12.05 18:44

삼성 LG뿐만 아니라 이름있는 OEM회사들까지 다 있더군요
서명키가 등록되어있는 apk또한 쉽게 찾을 수 있는데
apk key rotation으로 개인정보로 민감한 삼성페이같은 앱은 서명키를 이미 바꿨지 않았을까 싶네요
참고로 키 순환 기능은 안드로이드 파이(9) 부터 추가됬습니다
https://developer.android.com/about/versions/pie/android-9.0#apk-key-rotation
큐비트 the last resort 2022.12.05 19:02

유출이 되었는데 문제없다고 계속 쓴다니 저쪽 보안에서 일하는 사람들은 정말 좋은 환경에서(?) 일하고 있군요.
?
nsys 2022.12.05 23:39

플랫폼키는 교체하기 어렵습니다. /system 아래의 모든 apk 및 기타 서명되는 파일들 전부 교체해야 되니까요
현재는 유출된 키로 서명해서 플레이스토어에 올려봐야
업데이트를 실제 개발자가 업로드 하는지 검증하는 키가 되지
실제 소비자들이 내려받는 앱 패키지를 서명할땐 스토어에서 생성한 키로 서명하기 때문에
공식 스토어들만 사용하면 문제가 안되는건 맞긴 하고요
인터넷에서 APK 다운로드 하거나 물리적으로 USB 꽂고 잠금도 풀어버린 상태는 원래도 딱히 막을 방법도 없고 막을 생각도 없죠.
삼성페이 같은게 갤럭시 스토어로 들어가는 플레이스 홀더가 된 이유가 다 있었군요...

작성된지 4주일이 지난 글에는 새 코멘트를 달 수 없습니다.

구글 픽셀 폴드, 텐서 G2와 12GB 램 확인

구글 픽셀 폴드로 추측되는 구글 펠릭스가 긱벤치 5에 등록됐습니다. 안드로이드 13, 텐서 G2, Cortex-X1 2.85GHz, Cortex-A78 x2 2.35GHz, Cortex-A55 x4 1.8GHz 구성이며 12GB 램도 있습니다. 성능은 높지 않습니다. 스냅드래곤 8+ Gen1...

Date2022.12.07 소식 By낄낄 Reply0 Views900

Read More
애플 셀프 서비스 수리, 유럽에서 시작

애플의 셀프 서비스 수리를 이제 미국에 이어 유럽 지역에서도 쓸 수 있습니다. 아이폰과 애플 실리콘 맥 노트북이 여기에 해당되며, 수리 설명서와 부품, 수리 키트를 제공합니다.

Date2022.12.07 소식 By낄낄 Reply0 Views515

Read More
No Image

[잡담] MIUI 11 단말 초기 세팅

Redmi Note 4X, MIUI Global 11.0.2.0 NCFMIXM, Android 7.0 NRD90M 중고로 구입했습니다. 전 주인이 Mi 언락 후 TWRP 설치를 해 두었고, 저는 구입 직후 초기화와 초기 설정을 해 두었습니다. VoLTE 설정 - https://gigglehd.com/gg/...

Date2022.12.06 일반 By임시닉네임 Reply0 Views545

Read More
No Image

애플페이 이달 내 쓴다…당국 "해 안넘긴다"

금융당국이 올해 내 애플페이가 완전히 시행할 수 있도록 추진하고 있는 것으로 확인됐습니다. 각종 절차 등을 들여다보고 있는데 아직까지는 애플페이 도입에 문제가 없다는 입장입니다. 현재 약관 심사를 진행 중인 금융감독원은 심사 ...

Date2022.12.06 소식 By낄낄 Reply1 Views795

Read More
No Image

구글 픽셀 시리즈의 22년 12월 기능 업데이트

구글 픽셀 시리즈의 22년 12월 기능 업데이트입니다. 픽셀 7/7 프로는 구글 원 VPN을 제공합니다. 구글 원 구독을 쓰지 않아도 주지만 구글 원 앱을 설치해야 쓸 수 있습니다. 보안/개인정보 설정은 안드로이드 설정에 통합됐습니다. 클...

Date2022.12.06 소식 By낄낄 Reply3 Views600

Read More
No Image

애플, 미국에서 노조를 결성하려는 직원들을 불법적으로 방해함

애플은 애틀랜타의 소매점에서 근무하는 직원들이 노조를 결성하려는 걸 막기 위해, 직원들을 불법적으로 심문하고 강요를 했다고 합니다. 이것은 미국 노동 관계 위원회에서 나온 결론이며, 애플은 뉴욕 지역에서도 비슷하게 노조 결성을...

Date2022.12.06 소식 By낄낄 Reply6 Views1099

Read More
Onyx BOOX Leaf2, 전자종이 디스플레이의 7인치 이북 리더기

Onyx BOOX Leaf2가 199.99달러에 출시됐습니다. 흰색 모델에는 무광 보호 유리가 달려있지 않습니다. 7인치 흑백 전자종이 디스플레이를 쓴 이북 리더기로 해상도 1680x264, 300dpi, 2GB LPDDR4X 메모리, 32GB eMMC 스토리지, 안드로이드...

Date2022.12.06 소식 By낄낄 Reply1 Views1259

Read More
No Image

[단독] '천만 페이코' 서명키 유출 알고도 넉 달간 쉬쉬했다

다운로드 수가 1000만건이 넘는 간편결제 금융 앱 '페이코'의 서명키가 외부로 유출된 것으로 파악됐다. 전자인증에서 일종의 인감도장 역할을 하는 서명키가 도난당한 것이어서 상당한 후폭풍이 예상된다. 유출된 서명키를 악용하면 보이...

Date2022.12.06 소식 By카토메구미 Reply5 Views994

Read More
No Image

홈 화면에 아이콘 추가

안녕하세요. 안드로이드 앱을 설치하면 설정에서 홈화면에 아이콘 추가 옵션이 있어서 이것을 on/off 할 수 있는 것으로 알고 있습니다. 노트5 에서 구글플레이에서 이 옵션을 off 해도 계속 홈화면에 아이콘이 만들어지네요.... 그...

Date2022.12.06 질문 By투명드래곤 Reply6 Views424

Read More
원플러스 11의 공식 이미지 유출

원플러스 11의 공식 이미지가 유출됐습니다. 3개의 카메라가 탑재된 거대한 원형 모듈이 있으며 검은색과 초록색의 두 가지 색상으로 나옵니다. 6.7인치 QHD+ AMOLED, 스냅드래곤 8 Gen2, 16GB 램, 4800만 화소 IMX581 초광각/2배 광학줌...

Date2022.12.06 소식 By낄낄 Reply2 Views526

Read More
No Image

애플, 인도에서 아이패드 생산? 중국 공장은 12월 말에 정상화

애플이 중국의 의존도를 줄이기 위해 일부 아이패드를 인도에서 생산하는 방안을 검토하고 있습니다. https://www.cnbc.com/2022/12/05/apple-explores-moving-some-ipad-production-to-india.html 인도에서 제품을 생산하겠다는 계획은 2...

Date2022.12.06 소식 By낄낄 Reply0 Views408

Read More
삼성의 안드로이드 서명 키가 유출되어 멀웨에서 사용 되었습니다

키 유출 자체는 6년 전에 되었는데 아직도 바꾸지 않았다고 합니다 삼성과 구글은 플레이 프로텍터와 펌웨어로 보완이 가능하니 문제 없다는 입장입니다 하지만 apk 사이드로딩으로 멀웨어 설치가 가능하다고 합니다 6년전 유출이 된...

Date2022.12.05 소식 By탕탕치킨 Reply12 Views2768

Read More
사파리에서 웹페이지를 도서로 저장시 이미지 일부가 블러처리 됩니다

제가 요리하는걸 좋아해서 인터넷에 있는 레시피를 많이 봅니다 한번 했던 요리는 다음에 또 해먹을려고 저장을 해놓는데요 텍스트랑 앞부분 사진은 잘 저장이 되는데 몇페이지 넘어가면 뒷부분 사진은 블러처돼서 사진을 알아볼 ...

Date2022.12.05 질문 By아라오라1 Reply6 Views754

Read More
No Image

폰에 기스가 났는데 uv 필름으로 막아질까요?

안녕하세요. 이번에 동생이 수능 끝나서 폴드2로 바꾸는김에 동생폰으로 기변했습니다.(원래폰 노트9 -> 노트10) 그런데 동생이 폰을 험하게 써서 그런지 좀 심한 기스같은게 많이 났습니다. 스크래치 리무버(?)인가 하는걸로는 안될정도...

Date2022.12.05 질문 By파란진주 Reply2 Views700

Read More
POCO X4 GT의 충전 규격은 뭘까요?

poco x4 gt 와 함께 딸려온 67W 충전기 입니다. fast output은 5~20V , 6.2~3.25A 입니다. 동봉된 케이블과 함께 충전하면... 이렇게 67W 충전이 뜹니다. 그런데 말이죠.... 여기서 궁금한것이 ...

Date2022.12.05 질문 By포도맛계란 Reply7 Views843

Read More