김동성, 최형기,

Vol. 30, No. 6, pp. 1023-1030, 12월. 2020
10.13089/JKIISC.2020.30.6.1023, Full Text:
Keywords: Tizen, Wearable, Privilege, Desktop Bus, access control, D-Bus, Vulnerability
Abstract

스마트워치로 대표되는 웨어러블 기기들은 시스템 내에서 민감한 개인정보를 처리하고 저장하기 때문에 높은 보안 기능이 요구된다. 타이젠 운영체제는 애플리케이션에서 특별한 권한을 요구하는 서비스에 접근 시 시스템 데스크톱 버스(D-Bus)를 통하여 요청하는데, 시스템은 해당 애플리케이션의 권한을 검증하여 서비스 접근 허용 여부를결정한다. 본 논문에서는 타이젠 웨어러블 운영체제의 권한 정책과 접근 제어에 취약한 서비스들을 검출하기 위해데스크톱 버스 분석 자동화 도구를 소개한다. 자동화 도구는 타이젠 시스템 내 다양한 서비스들에서 권한 검증을 우회할 수 있는 다수의 취약한 호출 메소드들을 발견하였다. 상용 애플리케이션을 제작하여 무선랜 위치 추적, 푸시알림 수집 등 최소 5개의 취약점에 대한 시연을 하였다.

Statistics
Cite this article