| [ garbages ] in KIDS 글 쓴 이(By): limelite (a drifter) 날 짜 (Date): 2013년 01월 04일 (금) 오전 03시 15분 12초 제 목(Title): 보안헛점 갤럭시s3 펌웨어 다운로드, 다시 앞글에서... 갤럭시s3에서는, 다른 안드로이드 스맡폰도 비슷할 듯? 사용자 보안 설정을 우회해서 펌웨어 다운로드 및 시스템 초기화가 가능하며, '루팅'이라는 것도 이 방법을 이용한 것이다... 이것은 스맡폰 보안에 심각한 결함이다... 라고 적었고... 이에 대한 대비책으로 사용자 설정 보안 과정을 지난 다음에 펌웨어 다운/시스템 초기화를 하도록 실행 순서을 바꿔서 문제를 해결할 수 있다고 적었는데... 위에서 의견을 듣고 보니, 이 방법은 폰이 벽돌이 됐을 때 대처할 수 없다는 문제가 있다. 벽돌 된 폰이 어떻게 사용자 설정 보안 과정을 거치겠나. 이 경우 벽돌 폰에 펌웨어다운이나 초기화도 할 수 없으니, 벽돌폰 되면 무조건 AS -_-; 그래서 보안을 강화하면서도 사용자가 펌웨어다운/공장초기화를 쉽게 할 수 있는 다른 방법을 적어본다. *~* 근데 다른 방법이라고 특별한 게 있겠냐고. 그냥 빤함 -_-; - 첫째로, 펌웨어다운/공장초기화에 2가지 방법이 있어야 함. 사용자 수준에서 할 수 있는 방법과 서비스센터에서 기기 분해하고 전용장비을 이용해서 할 수 있는 방법, 2가지가 있어야 함. 이래야 벽돌폰 때 AS를 줄이면서도 사용자 수준 펌웨어다운/공장초기화 할 때 보안이 강화된 방법을 적용하기 쉬움. 근데, 나는 현재 스맡폰들이 당연히 이런 2가지 방법을 가지고 있을 거라고 생각했는데, 위에 자하랑님이 지금 갤s3가 쓰고 있는 방법이 유일하다고 하니 "혹시? -_-;" 하는 의구심이 들어버림. 그래도 설마 하는 중이긴 한데, 이번에도 설마가 사람 잡으려나? -_-;;; - 둘째로, 펌웨어다운/공장초기화 과정에 들어갈 때 SIM카드 비밀번호를 확인한 후에 들어갈 것. 물론 USIM카드 함부로 교체하고 시도할 때는 들어갈 수 없도록 해야 함. 현재 SIM카드 비밀번호 확인하고 휴대폰 사용하는 과정과 같은 조건. 근데 적어놓고 보니 이것도 너무나 당연한 것 같다. 도대체 갤s3은 이걸 왜 않는 거냐? 사용자 확인도 없이 덜컥 펌웨어다운/공장초기화가 가능하다니, 이런 게 말도 안 될 정도로 황당하지 -_-; - 혹시... 펌웨어다운/공장초기화 프로그램은 안전한 곳에 최소한의 크기여야 하는데, USIM비밀번호를 조회하고 입력 받는 (프로그램) 루틴을 끼워 넣을 수 있겠느냐, 이런 의문이 제기된다면? 해당 분야 엔지니어가 이딴 소리한다면 그냥 한 대 꽉 쥐어박아 주고 싶을 것이고 -_-; 그쪽 분야 아닌 사람들을 위해 설명을 좀 하면... 일단 펌웨어다운 모드에서 터치스크린 입력 방법이 어려울 수 있다면, 다른입력 방법... 갤s3의 경우 물리적 버튼이 4개나 있다. 마음 독하게 이용하면 알파벳 입력도 가능함. 더 독하게 먹으면 입력 방법이 복잡해지겠지만 한글도 입력 가능 -_-; 따라서 물리적 버튼 만으로, 터치스크린 조작 없이, USIM 비밀번호 숫자 정도는 충분히 입력 받을 수 있음. 그리고... USIM 비밀번호 조회하고 입력 받는 루틴 넣을 저장공간이 부족하다, 이런 문제제기가 나올 리는 없지만 혹시라도 나온다면? 하기 싫으니까 말도 안 되는 핑계를 대는 것임 -_-; 쓸데 없는 안드로이드 로봇 애니메이션을 없애버려도 이 루틴 끼워넣을 공간은 충분하겠다 -_-;;; 암튼... 이런 등등의 방법이면 제조사에 추가 비용 압박 없이 충분히 갤럭시s3의 보안을 강화할 수 있음. 샘숭은 스마트폰 분실에 대비해서 막대한 비용 들여서 위치추적 등의 서비스를 제공하는 Dive니 하는 사이트까지 운영하고 있으면서, 가장 기본적이면서 추가비용도 발생하지 않는 보안설정은 외면한다는 게 말이 되냐고 -_-;;; ............................................................................... a drifter off to see the world there's such a lot of world to see |