피드로 돌아가기
Dev.toSecurity
원문 읽기
F-Droid 인기 앱 10종 분석 결과 60건의 취약점 발견
I Scanned 10 Popular F-Droid Apps With My Security Scanner — Open Source Secure
AI 요약
Context
오픈 소스 소프트웨어는 공개된 코드를 통해 커뮤니티 검증이 이루어지므로 보안성이 높다는 일반적인 믿음이 존재함. 그러나 실제로는 활발히 유지보수되는 인기 앱들조차 체계적인 보안 리뷰 없이 배포되는 아키텍처적 허점이 상존함.
Technical Solution
- SAST 기반 자동 스캔과 Decompiled APK 수동 검증을 병행한 하이브리드 분석 체계 구축
- Exported Components의 Permission Guard 부재를 통한 외부 앱의 비정상적 컴포넌트 진입 경로 차단
- FileProvider의 Root-path 설정을 통한 전체 파일 시스템 접근 권한 노출 방지 설계
- Network Security Config 설정을 통한 Cleartext Traffic 허용 범위 제한 및 User CA Trust 신뢰 모델 개선
- AES ECB 모드 및 java.util.Random 같은 예측 가능한 암호화 알고리즘을 SecureRandom 및 CBC/GCM 모드로 대체
- filterTouchesWhenObscured 속성 적용을 통한 Overlay Attack 및 Tapjacking 방어 계층 구현
실천 포인트
- Android Manifest 내 모든 exported="true" 컴포넌트에 적절한 Permission Guard 설정 여부 검토 - FileProvider 경로 설정 시 root-path(".") 대신 필요한 최소 경로만 정의했는지 확인 - Network Security Config에서 cleartextTrafficPermitted="false" 설정 및 HTTPS 강제 적용 - 암호화 구현 시 SecureRandom 사용 및 ECB 모드 배제 여부 점검 - 민감한 UI 요소에 filterTouchesWhenObscured="true" 속성 적용 확인