TechFlow 소식, 5월 14일 BitsLab이 주도하는 'Web3 호위 프로그램'을 통해 보안팀은 유명 지갑의 Android 클라이언트에서 임의 알림 위조 취약점을 발견하고, 이를 성공적으로 수정 조치했습니다. 이 취약점은 클라이언트 코드 내 설계 결함으로 인한 것으로, 공격자가 특정 notification 파라미터를 전달해 해당 지갑 앱에서 외부로 노출된 민감한 구성 요소 메서드를 호출함으로써 포그라운드 서비스를 실행하고 사용자 기기에 임의의 내용을 담은 알림을 전송할 수 있습니다. 이 취약점은 사용자가 정상적으로 지갑 앱을 사용 중일 때도 트리거될 수 있어, 악성 공격자가 이를 이용해 피싱 정보를 전송하고 지갑 개인키를 탈취함으로써 심각한 보안 위협을 초래할 수 있습니다.
BitsLab 팀은 해당 취약점을 수집한 후 신속하게 포괄적인 기술 분석을 수행하여 취약점의 원인과 공격 경로를 심층적으로 분석했으며, 정확한 수정 방안을 제시해 해당 지갑 앱이 정보 유출 및 피싱 공격 리스크를 효과적으로 회피하도록 지원하였고, 개인정보 보호 능력과 시스템 보안성을 크게 향상시켰습니다. 또한 BitsLab은 모든 프로젝트 팀들이 자사 Android 클라이언트에 민감한 구성 요소가 부적절히 처리되고 있는지 자체 점검할 것을 권고하며 유사한 리스크를 예방할 것을 당부했습니다.
이번 유명 지갑 Android 클라이언트의 고품질 취약점 발견 및 수정 지원은 단순히 지갑 사용자의 자산 보안을 확보한 것에 그치지 않고, BitsLab 팀과 'Web3 호위 프로그램'이 글로벌 블록체인 생태계 보안 구축에서 가지는 중요 가치와 뛰어난 기여를 다시 한번 입증한 사례입니다. BitsLab은 더 많은 프로젝트들이 우리들의 공익적 'Web3 호위 프로그램'에 동참해 Web3 세계의 보안 방어 체계를 함께 강화해 나가기를 장려합니다.
