휴대전화나 다른 기기를 사용할 때 보안에 신경을 쓴다고 해도, 여전히 알지 못하는 위험이 있습니다. 보안 연구원은 악의적인 행위자가 개인 데이터에 액세스할 수 있는 새로운 위협을 정기적으로 찾습니다.
예상치 못한 보안 취약성의 원인 중 하나는 스마트폰의 하드웨어에 내장된 모션 센서입니다. 이 센서는 전화기가 움직일 때를 감지하도록 설계되었으며 합법적으로 많이 사용됩니다. 그러나 우리가 보여주듯이 오용될 수도 있습니다.
1. 모션 센서에서 오디오 데이터를 수집하는 앱
보안 연구원들은 최근 안드로이드 폰의 무서운 취약점을 시연했습니다. Spearphone이라고 하는 이 공격은 확성기 데이터를 캡처할 수 있습니다. 결과적으로 전화기가 근처에 있는 동안 대화를 도청할 수 있습니다. 그것은 가속도와 장치의 기울기 또는 회전을 측정하는 모션 센서의 가속도계를 사용합니다. Google 지도와 같은 위치 앱은 가속도계를 사용하여 위치를 결정합니다.
스피어폰은 이 구성 요소를 일종의 마이크로 바꾸는 방식으로 작동합니다. 가속도계는 전화기의 확성기와 같은 평면에 배치되어 음성으로 인한 반향을 포착할 수 있습니다. 누군가가 스마트폰을 스피커 모드로 사용하거나 Google 어시스턴트와 같은 스마트폰 도우미와 상호 작용하면 가속도계가 음성 반향을 캡처할 수 있습니다. 그 후 공격자는 녹음을 공격자의 서버로 전달할 수 있습니다.
결함을 발견한 연구원들은 arXiv를 통해 악성 Android 앱을 만들어 어떻게 작동하는지 증명했습니다. 그런 다음 그들은 LG G3, Samsung Galaxy S6 및 Samsung Galaxy Note 4를 포함한 장치에서 앱을 테스트했습니다. 이 앱은 가속도계를 사용하여 음성을 녹음하고 이러한 녹음을 연구원이 제어하는 서버로 보낸 다음 기계 학습 소프트웨어를 사용하여 녹음을 자동으로 분석할 수 있습니다. .
이렇게 수집된 데이터를 이용하여 연구자들은 90%의 경우 화자의 성별을 식별할 수 있었고 80%의 경우 화자를 정확하게 식별할 수 있었습니다.
2. 모션 센서 데이터를 사용하여 숨기는 앱
맬웨어가 동작 센서를 사용할 수 있는 또 다른 교활한 방법은 실제 목적을 숨기는 것입니다. Trend Micro에서 보고한 바와 같이 다른 보안 연구원 그룹이 이 작업을 수행하는 두 가지 Android 앱을 발견했습니다. 통화 변환기 및 BatterySaverMobi 앱은 통화를 변환하고 휴대폰의 배터리 수명을 모니터링하는 데 유용한 도구로 나타났습니다. 그러나 실제로 그들은 신용 카드 데이터와 온라인 뱅킹 로그인을 훔치는 Anubis라는 뱅킹 악성 코드를 숨겼습니다.
이러한 앱은 감지를 피하기 위해 모션 센서를 이용했습니다. 보안 연구원은 맬웨어를 찾을 때 일반적으로 컴퓨터에서 호스팅되는 가상 운영 체제에서 테스트를 실행합니다. 즉, 모션 센서는 테스트 중에 모션을 감지하지 못합니다. 반면 실제 사용자는 휴대전화에 앱을 설치할 때 보통 휴대전화를 휴대합니다. 분명히 이것은 센서가 감지하는 많은 움직임을 생성합니다.
해당 악성 앱은 모션 센서를 사용하여 모션을 확인했습니다. 움직임이 발견되지 않으면 앱이 테스트 중이고 악성 코드를 배포하지 않은 것으로 가정하여 보안 연구원이 의심스러운 점을 찾지 못할 것입니다. 그러나 실제 사용자가 앱 중 하나를 설치하고 이리저리 움직이기 시작하면 앱이 멀웨어를 켜고 데이터를 훔치기 시작할 수 있습니다.
3. 모션 센서 데이터를 사용하여 지문을 인식하는 앱
들어보셨을 수 있는 또 다른 보안 문제는 브라우저 지문입니다. 이것은 컴퓨터와 브라우저의 데이터를 사용하여 귀하를 식별하고 추적하는 경우입니다. 예를 들어, 설치한 다양한 브라우저 확장 프로그램과 컴퓨터에 있는 글꼴을 확인하여 작동할 수 있습니다. 이 데이터는 귀하에 대한 고유한 사진을 구축하고 인터넷에서 귀하를 팔로우하는 데 사용할 수 있습니다.
Android 및 iOS 기기 모두 모션 센서를 활용하는 유사한 기술에 취약합니다. SensorID라는 기술을 사용하면 휴대폰의 자이로스코프 및 자력계 센서 데이터를 사용하여 지문을 생성할 수 있습니다. 이러한 센서는 각 사용자에 대해 고유한 방식으로 보정되므로 사용자를 식별할 수 있습니다. 앱이나 웹사이트에서 모션 센서에 액세스할 수 있는 권한이 있으면 사용자가 인터넷을 사용할 때 사용자를 팔로우할 수 있습니다.
이 기술은 VPN을 사용하거나 다른 브라우저로 교체하는 것과 같은 보안 예방 조치를 취한 경우에도 작동합니다. 놀랍게도 휴대 전화에서 공장 초기화를 수행 한 후에도 지속됩니다. 이는 모션 센서의 보정 지문이 절대 변경되지 않기 때문입니다. 연구원에 따르면 "지문을 생성하는 데 1초 미만"이 소요되는 빠른 공격이기도 합니다.
모션 센서 데이터를 남용하는 앱으로부터 자신을 보호하는 방법
이러한 공격은 방어하기 어렵습니다. 그러나 휴대전화의 동작 센서를 남용하는 보안 위험으로부터 자신을 보호하기 위해 취할 수 있는 몇 가지 조치가 있습니다.
새 앱을 설치하기 전에 필요한 권한 살펴보기
첫째, 앱 권한을 부여할 때 주의하세요. Play 스토어에서 앱을 설치하면 휴대폰에서 다양한 기능을 사용할 수 있는 권한을 요청합니다. 예를 들어 카메라 앱은 휴대전화의 카메라에 액세스할 수 있는 권한을 요청합니다.
많은 사용자가 앱 권한을 실제로 보지 않고 동의합니다. 그러나 이것은 보안 위험이 될 수 있습니다. 다음에 앱을 설치할 때 필요한 권한을 확인하세요. 휴대전화의 동작 센서를 사용하기 위한 권한을 요청하는 경우 왜 필요한지 생각해 보세요. 앱이 모션 센서에 접근할 정당한 이유가 없다면 설치하지 마세요.
휴대전화 스피커를 물리적으로 보호
둘째, 모션 센서가 대화를 엿듣는 데 오용되는 것이 정말 우려된다면 보다 직접적인 조치를 취할 수 있습니다. 모션 센서가 반향을 감지하지 못하도록 휴대폰 스피커 주변에 진동 감쇠 재료를 추가할 수 있습니다.
또는 스피커를 사용할 때 탁상과 같이 딱딱하고 평평한 표면에 전화기를 두지 마십시오. 이렇게 하면 가속도계가 소리 정보를 포착하지 못하게 됩니다.
휴대전화의 OS를 최신 상태로 유지
지문을 방지하려면 iOS 12.2와 같은 운영 체제에서 문제가 해결되었으므로 휴대전화의 운영 체제가 최신 상태인지 확인하는 것이 가장 좋습니다. Google은 이 문제를 인지하고 있으며 이를 보호하기 위해 Android 시스템을 업데이트하기 위해 노력하고 있습니다.
Android 휴대전화가 보안 위험을 초래할 수 있음
모션 센서를 사용하는 것을 포함하여 전화 앱이 데이터를 훔칠 수 있는 영리한 방법에 주의하십시오. 이러한 문제 중 일부는 개인이 보호하기 어렵습니다. 따라서 Android 휴대전화가 최신 상태이고 안전한지 항상 확인해야 합니다.