iOS 버전의 원신에서 켜자마자 클립보드를 복사해갔다는 "Safari에서 붙여넣은 원신" 메시지가 뜬 이미지가 돌아다녔는데요. 이 메시지는 iOS 14에서 추가된 클립보드 관련 시스템 메시지로 어떤 앱이 다른데서 복사한 클립보드 내용을 자기 앱으로 가져갔음을 의미해요. 그리고 iOS 14부터 등장한 이 메시지를 통해 iOS의 여러 앱에서 클립보드를 복사해갔다는 것이 들통나 시끄러웠기도 했어요. 그러면 하나. 안드로이드나 PC판에도 그러지 않을까 싶어 불안감이 커지실 수도 있을 것 같아요. 다행히 안드로이드에서는 안드로이드 10.0 (API 29) 부터 기본 키보드 외에는 포커스를 갖지 않은 백그라운드 앱이 클립보드를 읽어갈 수 없으니 기본적인 부분은 안심하셔도 되요. 그러면... 이번 경우처럼 포어그라운드, 현재 메인으로 띄워져있는 앱의 경우는 어떨까요? 아쉽게도 이에 대한 메시지(iOS처럼 "A앱에서 붙여넣은 B앱")나 이를 막는 제어 기능은 없더라구요. 😂😂 그렇다고 낙심하지 마세요. 3년전 xda 글 에 따르면 adb 명령을 통해 클립보드 접근을 제어할 수 있다고 하니까요. adb shell 을 실행하시려면 PC에서는 여기를 눌러 윈도, 맥, 리눅스 용으로 platform tools를 내려받아 실행할 수 있도록 압축을 풀어두셔야 하고 안드로이드 기기에서는 USB 디버깅을 켜두셔야 명령 실행이 가능해요. 이 부분은 검색을 통해 확인하실 수 있는데 대략적으로는 설정 앱의 기기 정보에서 '빌드 번호'를 8번 이상 누르고 화면 잠금(설정된 경우에만)을 풀어주시면 되요. 압축이 풀린 폴더에 명령 프롬프트를 여시면 되는데, 주소 표시창에서 cmd를 입력한 뒤 엔터를 누르시면 그 폴더의 자리의 명령 프롬프트가 열려 편해요. 그리고 한 번 클립보드 접근하는 앱이 얼마나 많은지 확인해볼까요. 개발자가 READ_CLIPBOARD 권한을 선언한 앱은 설치 후 이 권한이 자동으로 주어져요. 접근 허용된 앱> ad...
안드로이드에서는 앱에서 이벤트는 물론, 일부에 한하긴 하지만 (Context.sendOrderedBroadcast를 통해 보내진) 브로드캐스트마저 먹어버릴 수 있습니다. abortBroadcast() 명령이 그것인데요.
안타깝게도 몰래 소액결제를 하는 스미싱 앱들 또한 이것을 활용하는데요. 맞습니다. SMS 수신 또한 이 방법으로 먹을 수 있도록 설계되어있습니다.
앱 개발의 편의(제3자 SMS앱)를 위해서인지.. 에구..
AndroidManifest.xml에 SMS수신 권한을 쓰신 뒤 자신의 리시버에 <intent-filter android:priority="아주 큰 숫자 아무거나">를 넣으신 다음 그 리시버에서 abortBroadcast()를 실행시켜버리면 온 문자를 꿀꺽해버릴 수 있습니다. 일부 joyn 앱이나 구글의 행아웃 등 기본 메시지 앱에서 알림이 울리지 않게 조치를 취해둔 SMS앱들은 아마도 이 방법으로 먹지 않았을까 추측해봅니다.
카카오톡도 그렇고 P망겜도 그렇고 어째서 한두 번 쓰고 말 인증번호 자동입력 기능에 사용자의 권한을 내어주게 하는지 모르겠어요. @ . @
2013-12-03
------------------------
구글이 SMS 인증전용 API를 플레이 서비스에 넣어뒀지만 아직도 SMS 권한을 노리는 앱들이 많습니다. 권한의 특성상 달라고 요구는 하지만 이걸 다시 해제해달라고 요청하는 것은 없기에 용도가 끝났음에도 그대로 권한을 갖게되는 위험에 노출되곤 합니다.
그래서 구글이 통화/SMS 권한을 요구하는 앱을 선승인제로 단속하겠단 소식이 들리네요. 좋은 소식입니다.
인증문자 전송을 위한 정보 획득과 자동 입력을 원한다면 SMS 리트리버 API를 사용하십시오.
2018-12-16
안타깝게도 몰래 소액결제를 하는 스미싱 앱들 또한 이것을 활용하는데요. 맞습니다. SMS 수신 또한 이 방법으로 먹을 수 있도록 설계되어있습니다.
앱 개발의 편의(제3자 SMS앱)를 위해서인지.. 에구..
AndroidManifest.xml에 SMS수신 권한을 쓰신 뒤 자신의 리시버에 <intent-filter android:priority="아주 큰 숫자 아무거나">를 넣으신 다음 그 리시버에서 abortBroadcast()를 실행시켜버리면 온 문자를 꿀꺽해버릴 수 있습니다. 일부 joyn 앱이나 구글의 행아웃 등 기본 메시지 앱에서 알림이 울리지 않게 조치를 취해둔 SMS앱들은 아마도 이 방법으로 먹지 않았을까 추측해봅니다.
카카오톡도 그렇고 P망겜도 그렇고 어째서 한두 번 쓰고 말 인증번호 자동입력 기능에 사용자의 권한을 내어주게 하는지 모르겠어요. @ . @
2013-12-03
------------------------
구글이 SMS 인증전용 API를 플레이 서비스에 넣어뒀지만 아직도 SMS 권한을 노리는 앱들이 많습니다. 권한의 특성상 달라고 요구는 하지만 이걸 다시 해제해달라고 요청하는 것은 없기에 용도가 끝났음에도 그대로 권한을 갖게되는 위험에 노출되곤 합니다.
그래서 구글이 통화/SMS 권한을 요구하는 앱을 선승인제로 단속하겠단 소식이 들리네요. 좋은 소식입니다.
인증문자 전송을 위한 정보 획득과 자동 입력을 원한다면 SMS 리트리버 API를 사용하십시오.
2018-12-16
Comments
Post a Comment