[논문]타이젠 용 데스크톱 버스 (D-Bus) 권한 우회 취약점 분석 및 자동 탐지

김동성; 최형기

doi:10.13089/jkiisc.2020.30.6.1023

타이젠 용 데스크톱 버스 (D-Bus) 권한 우회 취약점 분석 및 자동 탐지
Automatic Detection and Analysis of Desktop Bus'(D-Bus) Privilege Bypass in Tizen 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.30 no.6, 2020년, pp.1023 - 1030

초록
AI-Helper

스마트워치로 대표되는 웨어러블 기기들은 시스템 내에서 민감한 개인정보를 처리하고 저장하기 때문에 높은 보안 기능이 요구된다. 타이젠 운영체제는 애플리케이션에서 특별한 권한을 요구하는 서비스에 접근 시 시스템 데스크톱 버스(D-Bus)를 통하여 요청하는데, 시스템은 해당 애플리케이션의 권한을 검증하여 서비스 접근 허용 여부를 결정한다. 본 논문에서는 타이젠 웨어러블 운영체제의 권한 정책과 접근 제어에 취약한 서비스들을 검출하기 위해 데스크톱 버스 분석 자동화 도구를 소개한다. 자동화 도구는 타이젠 시스템 내 다양한 서비스들에서 권한 검증을 우회할 수 있는 다수의 취약한 호출 메소드들을 발견하였다. 상용 애플리케이션을 제작하여 무선랜 위치 추적, 푸시 알림 수집 등 최소 5개의 취약점에 대한 시연을 하였다.

Abstract ▼ AI-Helper

Wearable devices, such as a smart watch and a wrist band, store owner's private information in the devices so that security in a high level is required. Applications developed by third parties in Tizen request for an access to designated services through the desktop bus (D-Bus). The D-Bus verifies application's privileges to grant the request for an access. We developed a fuzzing tool, so-called DAN (the D-bus ANalyzer), to detect errors in implementations for privilege verifications and access controls within Tizen's system services. The DAN has found a number of vulnerable services which granted accesses to unauthorized applications. We built a proof-of-concept application based on those findings to demonstrate a bypass in the privilege examination.

주제어

표/그림 (6)

그림 Fig. 1. Generation of Smack rule for Tizen applications in an RPM format at the time of installation.
그림 Fig. 2. A four-step verification for application's privileges in D-Bus. D-Bus verifies the privileges against the Smack rule before it connects the application to requested services.
그림 Fig. 3. A structure of a proposed D-Bus analyzer (DAN). The DAN is composed three modules which identify all methods in services in the firmware and tries those methods against a target devices to discover vulnerable methods.
그림 Fig. 4. Output of a dbus command for methods, signals and properties of the Adapter1 interface in the /org/blues/hci0 object.
그림 Fig. 5. Output in Fig. 4. is transformed to a JSON format by the proposed tool DAN for an efficient and accurate analysis.
그림 Fig. 6. Output returned by the fi.w1.wpa_supplicant service. Using the GPS coordinates displayed in the bottom one can trace device's current locations. Because of such privacy issues the service must validate application's privileges before it grants a request for an access.

AI 본문요약
AI-Helper

문제 정의

본 논문에서는 타이젠 웨어러블 2.x 버전 운영체제의 서비스 접근과 권한 정책 관리 방식에 대해 연구하고, 각 앱에 대한 서비스 접근 권한 정책이 올바르게 적용되고 있는지 검증하고자 하였다. 이를 위해 문제의 소지가 있는 서비스를 검출하기 위한 데스크톱 버스 분석 자동화 도구를 설계하고 상용기기와 펌웨어에 적용하였다.
본 논문은 타이젠 웨어러블 2.x 버전을 대상으로 설치된 앱들에 대한 서비스 접근 권한 정책이 정상 적용되고 있는지 확인하고자 하였다. 특별히, 앱이 서비스 데몬(daemon) 프로세스에 권한 및 정보를 요청할 때 사용하는 데스크톱 버스(D-Bus)를 대상으로 분석하였다.

제안 방법

권한 검증을 소홀히 하는 데스크톱 버스 서비스들을 파악하고 이를 토대로 공격 시나리오를 작성하였다. 먼저, 데스크톱 버스가 제공하는 서비스 중 권한 검증에 취약한 서비스들을 파악하기 위해 위에서 설명한 오라클을 이용하는 자동화 도구를 설계, 제작 및 배포하였다.
데스크톱 버스의 서비스 접근 권한 검증 시 취약점을 자동으로 검출하기 위한 분석 자동화 도구를 소개한다.
권한 검증을 소홀히 하는 데스크톱 버스 서비스들을 파악하고 이를 토대로 공격 시나리오를 작성하였다. 먼저, 데스크톱 버스가 제공하는 서비스 중 권한 검증에 취약한 서비스들을 파악하기 위해 위에서 설명한 오라클을 이용하는 자동화 도구를 설계, 제작 및 배포하였다. 권한이 없는 앱에서 권한이 요구되는 서비스에 접근할 수 있음을 보여주기 위해 검증 코드(PoC, Proof of Concept)를 제작하였다.
x 버전 운영체제의 서비스 접근과 권한 정책 관리 방식에 대해 연구하고, 각 앱에 대한 서비스 접근 권한 정책이 올바르게 적용되고 있는지 검증하고자 하였다. 이를 위해 문제의 소지가 있는 서비스를 검출하기 위한 데스크톱 버스 분석 자동화 도구를 설계하고 상용기기와 펌웨어에 적용하였다.
이는 해당 메소드를 실제로 실행하지 않고 어떤 종류의 오류 메시지를 발생하는지만 수집하기 위함이다. 호출이 완료된 후, 각 메소드가 발생시킨 메시지를 수집하고 객체, 인터페이스, 그리고 메소드를 특정하며 에러 메시지를 분석한다.

대상 데이터

데스크톱 버스 자동화 도구의 정확도를 실험하고 발견한 취약점들의 개념증명을 위해 최소한의 권한을 가지고 있는 앱을 연구팀에서 제작하였다. 이 앱은 삼성 기어 S2에서 동작하면서 본 연구팀에서 발견한 취약점을 이용하여 앱에 주어지지 않은 권한을 실행하는 증명 코드로 사용하고자 한다.
본 연구를 통해 밝혀진 취약점들은 제조회사에 모두 보고하였고 제조사로부터 취약점들의 우수성을 인정받아 버그 바운티(bug bounty)로 미화 3000불을 수령하였다. 산출물로는 2018년 이번 연구와 관련된 취약점 총 11개를 보고하였고 CVE-2018-16262로부터 CVE-2018-16272까지 11개의 CVE(Common Vulnerabilties and Exposures)를 등록하였다. 초기에 얻은 결과물들을 종합해서 DefCon2018에 발표하였다.
5%)였다. 수집된 메소드 중 총 2368개에 호출을 시도하였을 때, 접근 거부가 없어 잠재적으로 권한 정책이 우회될 수 있는 위험이 존재하는 경우는 852개(36.0%)였다.
x 버전을 대상으로 설치된 앱들에 대한 서비스 접근 권한 정책이 정상 적용되고 있는지 확인하고자 하였다. 특별히, 앱이 서비스 데몬(daemon) 프로세스에 권한 및 정보를 요청할 때 사용하는 데스크톱 버스(D-Bus)를 대상으로 분석하였다. 그 결과 타이젠을 사용하는 상용 스마트워치 제품에서 정책을 우회하여 접근이 허용되지 않은 정보를 수집하거나 권한이 없는 명령을 실행할 수 있는 취약점을 다수 발견하였다.

이론/모형

앱은 설치 시에 Smack으로부터 고유의 레이블을 지정받는다. 각 프로세스와 리소스 간의 접근 권한 정보를 목록 형태로 구성한 레이블(label)을 불러들여 Smack 규칙을 검증한다. 권한이 없는 API 호출은 에러가 반환되고 요청은 실패한다.
먼저, 데스크톱 버스가 제공하는 서비스 중 권한 검증에 취약한 서비스들을 파악하기 위해 위에서 설명한 오라클을 이용하는 자동화 도구를 설계, 제작 및 배포하였다. 권한이 없는 앱에서 권한이 요구되는 서비스에 접근할 수 있음을 보여주기 위해 검증 코드(PoC, Proof of Concept)를 제작하였다.
산출물로는 2018년 이번 연구와 관련된 취약점 총 11개를 보고하였고 CVE-2018-16262로부터 CVE-2018-16272까지 11개의 CVE(Common Vulnerabilties and Exposures)를 등록하였다. 초기에 얻은 결과물들을 종합해서 DefCon2018에 발표하였다.

성능/효과

그 결과, 분석한 서비스 중 약 66%가 데스크톱 버스 객체 구조 열람이 가능하며 이를 통해 민감한 정보를 유출할 위험성이 있음을 발견하였다. 또한 분석한 메소드 중 36%가 접근 거부 없이 호출 가능하여 권한 정책이 우회될 수 있는 위험이 존재한다.
그 결과, 분석한 서비스 중 약 66%가 데스크톱 버스 객체 구조 열람이 가능하며 이를 통해 민감한 정보를 유출할 위험성이 있음을 발견하였다. 또한 분석한 메소드 중 36%가 접근 거부 없이 호출 가능하여 권한 정책이 우회될 수 있는 위험이 존재한다.
위험 메소드를 선별하여 추가적인 분석을 수행한 결과, 권한 정책을 우회하여 시스템을 조작하거나 사용자의 위치정보나 개인정보에 접근할 수 있는 취약점을 다수 발견하였다. 마지막으로, 발견된 취약점을 다른 기기에도 동일하게 적용 가능함을 보였다.
무선랜(Wi-Fi), 블루투스, 화면, 알림, 이메일 등 다양한 서비스들의 메소드들을 권한이 없는 애플리케이션들이 데스크톱 버스에 권한 검증을 우회하여 호출하는 것이 가능하였다. 실험을 통해 수집된 잠재적 위험 메소드 중 서비스를 기준으로 일부를 선별하여 추가적인 분석을 시행하였고, 이를 통해 발견된 권한 정책 우회 취약점 중 일부를 아래 소단원에서 설명한다.
발견된 다수의 취약점은 실험 대상으로 선정한 삼성 기어 S2 뿐 아니라 S3 프론티어 및 LTE 버전에서도 적용됨을 확인하였다.
본 연구팀은 개발한 데스크톱 버스 자동화 도구를 통해서 권한이 없는 애플리케이션에서 fi.w1.wpa_supplicant에서 제공하는 모든 메소드들을 읽고 호출할 수 있음을 확인하였다. 이를 이용하면 무선랜 접근 및 제어 권한이 없는 애플리케이션이 기기를 소유한 사용자의 물리적 위치를 알아낼 수 있다.
실험 결과, 총 227개의 서비스 버스 이름을 수집하였으며, 그 중 객체 구조 열람이 가능하여 프로퍼티를 통해 민감한 정보를 유출할 가능성이 있는 경우는 개발자 쉘에서 148개(65.2%), 네이티브 앱에서 151개(66.5%)였다. 수집된 메소드 중 총 2368개에 호출을 시도하였을 때, 접근 거부가 없어 잠재적으로 권한 정책이 우회될 수 있는 위험이 존재하는 경우는 852개(36.
위험 메소드를 선별하여 추가적인 분석을 수행한 결과, 권한 정책을 우회하여 시스템을 조작하거나 사용자의 위치정보나 개인정보에 접근할 수 있는 취약점을 다수 발견하였다. 마지막으로, 발견된 취약점을 다른 기기에도 동일하게 적용 가능함을 보였다.

참고문헌 (14)

S. Waltzer, Global Smartwatch OS Market Share by Region : Q2 2017, Strategy Analytics, Aug. 2017.
V. Amorim, S. Delabrida, and R. Oliveira, "A Constraint-Driven Assessment of Operating Systems for Wearable Devices," In Proceedings of SBESC, pp. 150-155, Nov. 2016.
O. Gadyatskaya, F. Massacci, and Y. Zhauniarovich, "Security in the Firefox OS and Tizen Mobile Platforms," Computer, Vol. 47, No. 6, pp. 57-63, Jun. 2014.

상세보기
Tizen Wiki, "Tizen 2.X Architecture," https://wiki.tizen.org/Security/Tizen_2.X_Architecture, Dec. 2020.
Tizen Wiki, "Tizen 2.X dbus," https://wiki.tizen.org/Security/Tizen_2.X_dbus, Dec. 2020.
GitHub, "kiding/dan: Automatic privilege evaluation of D-Bus services," https://github.com/kiding/dan, Dec. 2020.
Tizen Developers, "Introduction to Native Applications," https://developer.tizen.org/development/training/native-application, Dec. 2020.
K. Vervloesem, "Control your Linux desktop with D-Bus," Linux Journal, Vol. 199, No. 3, Nov. 2010.
dbus, "D-Bus Specification," https://dbus.freedesktop.org/doc/dbus-specification.html, Dec. 2020.
Google Maps Platform, "Google Maps Geolocation API," https://developers.google.com/maps/documentation/geolocation/, Dec. 2020.
GNOME Developer Center, "gdbus: GIO Reference Manual," https://developer.gnome.org/gio/unstable/gdbus.html, Dec. 2020.
M. Marhefka et al., "Dfuzzer: A D-Bus Service Fuzzing Tool," In Proceedings of ICSTVV, pp. 383-389, Cleveland, OH, USA, Apr. 2014.
Samsung Mobile, "Notify Update," http://goo.gl/K5iGw7, Dec. 2020.
Tizen Wiki, "Tizen 3.X Overview," https://wiki.tizen.org/Security/Tizen_3.X_Overview, Dec. 2020.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증