| 삼성 갤럭시 S3, 비밀번호 암호화 안했다니! | 2012.11.16 | |
S메모에 비밀번호가 평문으로 저장...루팅한 경우 누구든 접근 가능
이는 갤럭시 S3에 탑재된 S메모 앱 때문이다. 동기화되면서 사용자의 구글 계정 정보가 S메모 앱에 저장되는데, 문제는 S메모 앱에서 이를 암호화 하지 않고, 평문(Plain text) 형식으로 저장한다는 점이다.
만약 기기에 대한 최고 접근권한(root access)을 가지고 있다면 S메모 앱에 저장된 계정 비밀번호에 접근이 가능하고, 평문으로 저장된 비밀번호를 확인할 수 있는 것이다. 일반적으로 최고 접근권한은 해당 사용자만이 가지고 있지만, 모바일 환경 최적화를 위해 루팅을 한 경우 스마트폰에 물리적으로 접근이 가능한 사람은 누구든지 S메모 앱에 저장된 비밀번호를 알아 낼 수 있다는 문제가 발생한다. 이러한 사실은 XDA 공인 개발자이자 포럼 운영자인 ‘graffixnyc’가 자신이 사용 중인 갤럭시 S3를 루팅한 후 살펴보다 S메모 앱의 SQLite 파일에 자신의 구글 계정 비밀번호가 평문 형식으로 저장돼 있는 것을 발견하면서 밝혀졌다.
대다수의 사용자들은 루팅을 하지 않기 때문에 아직까지는 크게 문제가 되지 않을 것으로 보인다. 하지만 루팅 여부를 떠나 비밀번호를 평문 형식으로 저장했다는 사실은 문제의 소지를 안고 있다.
이와 관련 삼성 측은 해당 취약점을 수정했고, 이를 위한 보안 업데이트를 빠른 시일 내 제공하겠다고 밝힌 것으로 알려졌다. [호애진 기자(boan5@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
