The truth about the latest Google Android security scare (Updated)

A security vulnerability in some Google apps on Android has everybody stirred up again, so let’s put this into perspective. In this article we’ll explain why the threat is overblown and not even Android specific.

안드로이드 구글 어플리케이션의 취약점이 다시 논란이 되고 있다. 그래서 이것에 대해 탐구해보자. 이번 기사에서는 왜 위협이 되는지 안드로이드 외에 부분까지 따져볼 것이다.

Update: And besides that, a fix is already being deployed

In case you missed it, researchers in Germany found that if they hooked up a piece of hardware called a packet sniffer to an unprotected WiFi network they could see “authorization tokens” being transmitted in the clear to servers used by certain apps like Google Calendar.

위 기사에서 놓친 부분은 독일 연구원이 만약 취약한 와이파이로 부터 패킹스니퍼를 이용한다면, 구글 일정과 같은 신뢰가는 어플이 사용하는 서버로 전송할 때 쓰이는 인증 토큰을 볼 수 있음을 알아냈다는 것이다. 

A token is a long gobbledygook string of characters that the server creates and uses instead of your password (which is kept secret). An attacker watching this token go by can write a program that uses it to pretend to be you for a limited time. For example if you connect to the server with a buggy version of Google Calendar while someone nearby is watching then they can read and write items in your calendar.

보안이 유지될 비밀번호를 대신해 쓰이고 서버가 만든 복잡한 문자가 토큰이다. 제한시간동안 사용자인 척 위장하기 위해 사용되는 프로그램을 이용하면 공격자는 토큰을 볼 수 있다. 예를 들면, 근처에서 누군가 감시하는 동안에 버그투성인 구글 일정을 실행할 경우 일정들을 보거나 새로 작성할 수 있다. 

This kind of vulnerability is well known, and many applications have run into it over the years. For example, Facebook and Twitter had the same problem. Their solution was to turn on encryption all the time, not just for the initial password exchange. Encryption increases load on the server and client but obviously in this case it’s worth it.

이런 종류의 취약점은 매우 유명하고, 많은 어플리케이션에서 몇년간 사용하고 있다. 트위터와 페이스북을 예로 들 수 있다. 이 문제의 해결방법은 잠깐 비밀번호를 변경하는 것이 아니라 매 순간 암호화를 해야한다. 암호화는 서버상 접속률이 높아져 무리가 될 수 있지만, 최상의 방법이다.

The story is getting a lot of attention because it was noticed on Android, but it’s not, in fact, an Android vulnerability. It’s a security bug in any program that does not encrypt its authorization tokens. Google Calendar, Contacts, and Gallery, which were shipped in all versions of Android prior to 2.3.4, are three such programs. There may be others. The Calendar plug-in for Mozilla Thunderbird, which is a program that runs on PC, Mac, and Linux is another. GMail is NOT affected. Nobody has found the problem in banking and shopping programs either.

이 소식은 안드로이드에서는 주목할 필요가 있지만 사실 안드로이드의 취약점은 아니다. 인증토큰을 암호화 하지 않는 프로그램의 보안이 문제다. 구글 일정, 연락처, 갤러리와 같은 프로그램은 안드로이드 2.3.4 이전 버전 모두에서 사용된다. 모질라 일정 플로그인 선더 버드는 다른 운영체제에서도 동작하며 같은 문제를 가지고 있다 하지만 은행이나 쇼핑 어플리케이션에서는 문제점을 찾을 수 없었다

When I first read about the problem I thought “meh, no big deal”, but seeing the coverage today you’d think the world was coming to and end (we have until May 21st, remember?). Here are a few examples (emphasis mine):

내가 처음 이 문제를 접했을 땐 '별 문제 아니네' 라고 생각했지만, 오늘 기사를 보았을 땐 세계종말이 오는 듯 했다.(5월 21일 이였는데 기억하는가?) 여기에 짤막한 예가 있다.

  • SJVN’s article, “Android has a GAPING NETWORK SECURITY HOLE“, says the attack is “quite easy” and tells us “we are so hosed”. He continues by saying “Google, the Android smartphone and tablet makers, and the telecoms must fix this. Now.” First of all, it’s not an Android problem, and to call it “gaping” is to overstate the severity. An attack would require special hardware and/or software, not to mention physical proximity and an unprotected network. Obviously, all security problems are serious and should be fixed.

    SJVN의 기사 '안드로이드는 네트워크 보안의 구멍' 에 따르면  매우 쉽게 우리를 속일 수 있다라고 하였다. 그는 계속해서 "구글과 생산자 그리고 통신사까지 문제점을 고쳐야 한다" 라 하였다. 가장먼저 이 문제는 안드로이드의 문제가 아니고 구멍(Hole)이라는 표현은 매우 과장된 것이며, 일반적인 공격은 특별한 하드웨어 혹은 소프트웨어가 필요하지만 취약한 네트워크와 물리적인 접근은 언급하지 않았다. 정확하게는, '어차피 모든 보안 문제는 심각하고 수정해야 한다'

  •  Adrian Kingsley-Hughes’s article, “99.7% of all Android smartphones vulnerable to SERIOUS DATA LEAKAGE“, says that “A whopping 99.7% of Android smartphones are leaking login data for Google services“. Well, no. Some apps running on Android phones, PCs, and Macs could potentially leak authentication tokens in just the right circumstances. Your login data, by which I mean your userid and password, are not leaked. Adrian admits as much in the second paragraph, but hey, who reads that far.

    Adrian Kingsley-Hughes의 기사 '안드로이드 스마트폰들 중 99.7%는 데이터 유출에 취약할 수 있다' 에서는 안드로이드 스마트폰의 99.7%는 구글 로그인 정보 유출에 취약하다 라고 언급하였다.
    글쎄, 안드로이드 PC 맥에서 구동되는 어플리케이션도 궁극적으로는 인증토큰이 유출될 수 있다. 이것은 당연한 것이다. 유저 아이디와 암호의 로그인 데이터는 유출되지 않는다. 아까 기사에서 두번쩨로 언급하였지만 실제와 거리가 멀다

  • Gloria Sin’s article, “Most Android devices VULNERABLE TO IDENTIFY THEFT“, warns that “web-based services like GMail” are vulnerable because of “how Android devices handle login information”. That’s not right. The Android operating system is not doing anything with your login information, it’s some apps that run on Android, PC, and Mac. Furthermore, GMail is not affected by this particular bug. Gloria makes it worse by claiming that “problems could arise from hackers changing an unsuspecting person’s password, to gaining access to sensitive emails and private photos.” No, photos maybe, but passwords and emails are safe. There’s nothing here to help somebody steal your identity.

    Gloria Sin의 기사 '대부분의 안드로이드 기기는 도난에 취약할 수 있다' 에서는 G메일과 같은 웹 기반서비스가 안드로이드의 로그인 정보를 다루는 과정에서 취약할 수 있다고 하였다. 그러나, 사실이 아니다. 안드로이드 OS에서는 로그인 정보를 이용하지 않으며, 문제는 PC와 맥, 안드로이드의 일부 어플리케이션 때문이다. 게다가, G메일은 이 문제점에 영향을 받지 않는다. Gloria Sin은 "의심하지 않던 사람의 정보가 바뀌거나 해커가 민감한 이메일과 사적인 사진에 접근할때 비로소 문제점을 알게된다" 라고 과장 주장하였다.
    사진은 문제가 될 수 있지만 암호와 이메일은 안전하다 여기서 도움이 될 만한 정보는 없다. 


Should you be worried? Until a patch is available (either through the Market or an Android update) the problem can be avoided by not using the affected applications in a vulnerable situation. What’s a vulnerable situation? Based on the information we have so far, IF you sync your calendar or contacts while using the open WiFi of the local StarBucks or airport, and IF somebody within 50 feet or so of you is waiting for you to do that and is running a packet sniffer, and IF you think they might do harm by looking at your doctor’s appointments and boyfriend’s phone number, THEN you might want to take precautions such as turning off WiFi until you get back home to your secure network. Otherwise, in my opinion it’s not worth getting too worked up about.

걱정되는가? (마켓이나 안드로이드 업데이트를 통해서든지) 패치가 가능할 때까지 취약한 상황에서 영향 받는 어플리케이션은 사용하지 않음으로써 문제점을 피할 수 있다. 취약한 상황은 어떤 것일까? 만약 스타벅스나 공항 같은 공개와이파이를 이용해 일정이나 연락처 어플리케이션을 사용하거나, 누군가 50발자국 이내에 있으면서 너의 행동을 주시한다면 정보가 유출되고 있을 수 있다.
그리고, 만약 의사 진료예약과 남자친구 전화번호 같은 것이 사적으로 침해가 될 수 있다고 생각한다면, 집에 돌아갈때까지 와이파이를 꺼놓는 것과 같이 주의를 기울여야 한다. 

 Google is rolling out a fix to the problem already, for all phones and computers. According to a spokesman,

대변인에 따르면 모든 휴대폰과 컴퓨터에서 문제점이 이미 해결되었다!

“Today [May 18th] we’re starting to roll out a fix which addresses a potential security flaw that could, under certain circumstances, allow a third party access to data available in calendar and contacts. This fix requires no action from users and will roll out globally over the next few days.”

"5월 18일 오늘 우리는 제 3자가 일정이나 연락처를 접근할 수 있는 취약점을 수정하기로 했습니다. 이번 패치는 유저들이 번거롭게 행동할 필요가 없으며, 얼마되지 않아 세계적으로 전파될 것입니다."

The fix is on the server side, and will fix everything except Picasa. Current authentication tokens will be erased and replaced with new ones upon logging back in to the affected service. Go go gadget, instant cloud update!

서버측면에서 패치되는 것이며, Picasa를 제외한 모든 것이 패치됩니다. 기존의 인증 토큰은 지워질 것이며, 토큰은 서비스의 영향을 받는 새로운 곳(안전한 곳) 으로 재배치 될 것입니다. 달려라, 즉시 업데이트를 해라 가제트! 


+ Recent posts