취소
다음에 대한 결과 표시 
다음에 대한 검색 
다음을 의미합니까? 

제목:

보안폴더의 삼성계정 비밀번호 초기화는 치명적인 보안결함!!

(게시글 작성 시간: 07-09-2020 11:39 AM)
2607 보기
보안최강
Active Level 2
옵션
갤럭시 S

보안폴더는 삼성폰에서 가장 강력한 보안앱이라고 알수있습니다. 미군에도 남품하더군요. 그런데 여기에 치명적인 결함이 있습니다. 바로 삼성계정을 통한 비밀번호 초기화!! 

이는 크나큰 보안결함입니다. 해커가 삼성계정 탈취해 사용자의 폰을 훔쳐 비밀번호 초기화하면 얼마든지 데이터 훔칠수도 있고 심한 장난치는 해커가 비밀번호 초기화시키는 장난걸수도 있고요.

 

더군다나 삼성보안폴더에 걱정돼 개인정보담당 전화하니 삼성계정을 통한 비밀번호 초기화에 잘 모르고 있었고 이에 대해 설명하니 사용자가 실종되면 그걸 통해 풀어야 하느니 마니 뜬금없는 예를 들어 말귀가 안통하는 어리석인 여직원이었고 관리자로 바꾸니 검경 영장문서(압수수색) 협조에 필요한 만큼 다 협조를 해야한다느니 그 외엔 안전하다고 바보같은 헛소리를 지껄였습니다. 

보안이라면 설령 공권력이라도 보호될수 있는 만큼이어야 해커 등에게도 안전한 겁니다. 애플은 fbi의 협박에도 암호화가 튼튼합니다. 

 

그래서 이러한 보안폴더는 물리적으로 격리된 앱이니 삼성계정의 비밀번호 초기화는 빼버려줘요. 하다못해 옵션이라도 남겨두는건 이해합니다. 

2. 삼성패스로 삼성계정 로그인 가능한 만큼 보안폴더에도 강제로 사용자 지문을 통한 통과가 가능할겁니다. 

 

악의적인 사람이 상대방 손가락 가져다 억지로 풀수 있습니다. 

 

이러한 문제점을 다 해결하지 못한다면 애플보다 보안이 보다 떨어진겁니다. 

하루빨리 문제점 해결해주세요. 전 기종 대상으로 

20 댓글
갤럭시 S
1. 그런 경우를 방지하기 위해서 2단계 인증을 사용하고 있습니다 또 만약에 비밀번호를 까먹었는데
중요한 파일이 안에 있어 비밀번호를 꼭 찾아야 하는 경우는 어떻게 해야 할까요

저는 지금 처럼 삼성 계정 2단계 인증을 통하여 비번을 초기화할 수 있는 게 더 나은 것 같네요

2. 그러면 보안 최강 님께서는 지문 사용이 아닌 비밀번호만 사용할 수 있도록 돼있는 걸 원하시는 건가요

그러면 똑같이 악의적인 사람이 폰 주인을 협박해 비번을 알아내면 소용이 없지 않을까요?

세상에 보안이 완벽한 앱은 없어요 하나씩은 취약점이 있는대 그 취약점을 어떻게 보완하냐가 중요한 것인데
보안 최강 님께서는 너무 극단적인 예를 드신 것 같네요...
애플도 보안 최강 님이 말씀하신 대로 하면 똑같습니다^^
FBI에서 애플 보안을 뚫은적이 있어요~

보안 최강님을 공격하려는 의도는 없습니다 😅
Anonymous
해당 사항 없음
갤럭시 S
2단계 인증 땜시 짜증나 죽겠어요
보안최강
Active Level 2
갤럭시 S

2fa 인증으론 부족하고 애초에 강제로 하는게 비정상인거죠. 왜 사용자에게 선택권을 안주지? 더군다나 삼성계정 비밀번호 초기화는 보안앱에 공권력이 우회로 들어올수 있는 약점이죠. 

삼성에게 요청하고 그 계정을 가져 그걸로 비번 초기화하면 뚫을수 있는데 안좋죠. 

삼성계정 비밀 초기화 없애든가 선택으로 하는게 가장 좋은거지. 보안이란 엄청 소중히 해야함 

 

2. 비번은 말 안해도 되고 입만 다물면 되는데  손은 그냥 힘으로 그냥 누르게 하면 그만 비교해서 지문쪽이 훨씬 불리하죠. 그리고 보안이란 보기 드문 사례에서도 보호해야 맞지요. 

만약 해커가 계정 탈취하면 얼마든지 초기화 가능한데 제정신으로 말하는건지 궁금하네요. 

 

0 좋아요
AlexFisher
Active Level 5
갤럭시 S
보안최강님이 말씀하시는 부분은 이전에 제가 이미 삼성에 제안한 바 있습니다.

그러나 '삼성계정을 통한 보안폴더 초기화' 기능이 옵션으로 탑재되지않은것을 미루어 볼 때 사용자가 설정해놓고 암호를 잃어버려 서비스센터에서 어떻게 해줄 수 없는 부분을 놓고 응대해야하는 소모가 적합하지않다고생각하여 강제화한것으로 보입니다.
0 좋아요
AlexFisher
Active Level 5
갤럭시 S
애초에 공권력을통해서 보안폴더가 풀릴정도면 그 나라는 이미 공산국가라고봐도 무방합니다. 그정도되면 삼성이 공권력에 짓눌려서 계정을 통해 보안폴더를 초기화시켜주는것보다 사용자가 고문받아서 자백할 확률이 더 높을겁니다.
0 좋아요
AlexFisher
Active Level 5
갤럭시 S
보안이라는건 보기 드문 사례를 가정하고 보호해야하는건 맞습니다.

그래서 초기화기능을 탑재한겁니다. 어떤 전문적인 교육을 받은 정보원이 보안폴더에 정보를 저장하겠습니까?

그정도로 기밀성을 요하는 정보라면 애초에 보안폴더를 사용하지도않습니다.

보안 시스템은 보안 등급에 따라 설계되는데 해당 등급은 어떤 정보를 다루는지에 따라 달라집니다. 무조건 제일 강력한 방법을 쓰지는않습니다.

만약 보안최강님처럼 모든 부분에 대해 강력한 보안 정책을 적용한다면 이는 고작 쌀 한톨을 지키고자 3중금고에 보관하는 꼴과도 같습니다.

삼성은 개인 사용자나 엔터프라이즈에서 중요한 정보를 보안폴더에 보관하는걸 가정하지않습니다. 그럴 필요도 없고 중요한 정보는 애초에 회사에서 다루는 지침이 있을태니.

그저 은행앱이나 이메일앱 그리고 일반적으로는 이야기를 잘 하지 않는 음지의 그렇고 그런 부류들의 데이터를 남들이 쉽게 접근하지못하게 막는것을 제공하는 목적으로 만들었을 뿐이죠.
0 좋아요
보안최강
Active Level 2
갤럭시 S

쓸데도 없는 **bleep**!! 왜냐하면 갤럭시 내의 보안폴더를 이용하는 기업인들도 내가 아는 바로도 존재하며  삼성에서 대대로 보안 튼튼하다고 광고하는데 이딴 기능 강제로 있다는건 너무 안좋은 겁니다. 

그리고 fbi에서 이스라엘 업체 꺼를 사와서 뚫은거지 자체로 정부에서 못뚫었습니다. 삼성만 쉴드치지말고 심각성을 삼성에게 따져야지. 이러쿵 저러쿵 말고 다시 생각해보세요^^ 삼성은 제정신이 아닌회사 

중국 보안기업이랑 협력하는 것도 그렇고 등 

AlexFisher
Active Level 5
갤럭시 S
기업인들 이용하는 휴대폰봤는데요 일반인들꺼하고 달라요.

아는집 부잣집애가 몇년전에 이거 임원들이 사용하는 휴대폰이라면서 자랑하던데 같은 기종이라도 아예 펌웨어 자체가 다릅니다.
보안성이 더 높은거(기능추가인지는 모르고) 당시에는 자세하게못봤는데 지금은 더하겠죠 뭐.
그리고 어느 정신나간 기업인이 엔터프라이즈 차원에서 제작된거 사용안하고 보안폴더를 사용한답니까?

우리나라 정부 정보력 기술력없는거 뭐 하루이틀입니까. 매일 밥만먹고 전쟁하는 이스라엘은 정보력이나 기술력이나 우리나라하고는 급이다른나라인데.

비교할걸 비교하세요.
0 좋아요
AlexFisher
Active Level 5
갤럭시 S
보안결함은 아닙니다. 녹스 SDK를보면 비밀번호를 초기화 할 수 있는 기능이있는데 그걸 보안폴더에 탑재한것뿐입니다. 물론 사용자 선택사항이아닌 강제적인것은 문제가있는것은맞지요.
이게 싫으시다면 사업자등록증 발급, DUNS발급받고 녹스 파트너 프로그램에 가입하고 녹스 SDK로 해당 기능이 없는 보안폴더를 새로 만드시면됩니다.
0 좋아요
보안최강
Active Level 2
갤럭시 S

그걸 말이라고 함? 소비자가 합당한 의견내면 제조사에서 고쳐야지. 소비자가 왜 사업자발급에 d발급까지 ㅋㅋ 보안앱이라면서 삼성계정 초기화는 정말 말도 안되는 것으로서 하루빨리 고쳐져야하는게 맞는거지. 

0 좋아요
AlexFisher
Active Level 5
갤럭시 S
이건 합당한의견이 아닙니다. 그저 그냥 소비자의 의견, 즉 제안이죠.
합당하고 불합당하다는건 소비자와 회사의 계약관계에서 따지고 들어갈때 쓰는 단어이지 이런 상황에서는 제안이라는 단어가 더 적합한겁니다.
이런 부분을 보안 문제점이라고 이야기하는 '보안 전문가'는 세상 어디에도 없을겁니다. 그저 그냥 비밀번호초기화 기능일 뿐입니다.

암호를 까먹었으니 찾아달라거나 초기화시켜달라며 서비스센터에 찾아올 잠재적인 고객들을 위한 편의서비스일뿐입니다.
0 좋아요
보안최강
Active Level 2
갤럭시 S

핫, 웃기고 있네 

편의 서비스라면 보안폴더 앱 자체의 생체등록 있는데 뭐가 편의서비스 헛소리?? 개가 친구하자고 할 소리 말고 이건 여러 소비자들의 합당한 의견이 있는데도 무시한건 무능하고 소비자의 보안을 별로 소중히 여기지 않는것. 삼성이 제정신이 아닌거지. 애플의 경우 암호화가 잘되어 있고 공권력이 약점 노릴 여지도 없는데 보안이 비교될게 못됨. 

0 좋아요
AlexFisher
Active Level 5
갤럭시 S
뭔가 착각하시는게 있으시네요.

애플은 일단 Knox같은게 없습니다.
인증, 암호화같은걸 지원하기위한 Secure Enclave라는건있는데 기능이 아예다른겁니다.

그리고 애플의 잠금이나 안드로이드의 잠금이나 별 다른 보안성에서 차이가없어요.

애플이 왜 안드로이드보다 더 안전하다고 알려졌나면 단순합니다. 안드로이드가 그냥 운영체제나, 파일 정책부분에서 애플보다 더 오픈되어있기때문이지 단순히 애플이 뭐 더 좋아서 그런건 아니라는겁니다. 해당 부분을 이용해서 잠금을 해제하고 포렌식하기가 용이해서 그런거지 단순히 애플이 뭐 더 대단한 특수한 알고리즘이나 보안성을 가진게 아닙니다. 그냥 보안정책이 다를뿐이지.

그리고 애플이나 안드로이드나 하드웨어 암호화가 되어있는 상태에서 취약점이 없다고 가정하면 두 모바일 기기 전부다 반도체 칩 때어내서 미러링해가면서 잠금풀어야되는게 현실입니다. 더불어 만약 Knox로 개발되어있는 부분이 있다면 글쎄요. 이걸 과연 그냥 미러링해서 풀 수 있을까요?

자꾸 공권력 공권력하시는데 법을 잘몰라서 말씀하시는거에요. 일반범죄자라도 휴대폰 압수해서 삼성에다가 야~ 얘 범죄자니까 얘 계정으로 보안폴더 잠금풀어라~ 했다가 해당 수사관 모가지 날라갑니다. 거기다가 예하고 삼성이 풀어주면 삼성 무너집니다. 어떤 정신나간 수사관과 삼성이 개인정보보호법 어겨가면서 그런 환장할 콜라보레이션을 한답니까?

애초에 일반 개인 휴대폰 압수해서 위와 같은 방식으로 법이 돌아가는 나라면 굳이 그렇게 압수해서 부탁하고말고 할 필요도없습니다. 그냥 주변인, 가족, 본인 잡아가서 물먹이고 전기지지면 알아서 술술불걸 뭣하러 피곤하게 저럽니까? 애초에 고문할필요도없어요. 그냥 증거조작하면 편하게 일이 진행될걸 뭣하러 이런 일을 번거롭게한답니까?
AlexFisher
Active Level 5
갤럭시 S
미군에 납품되는건 Tactical Edition이라고해서 별도의 계약과 제작을 통해 납품된겁니다. 기능이 아예다릅니다. 보안폴더 이런것도 없어요. 그것보다 더 강력한 NSA DAR CP 기준에 따라 제작, 납품되었습니다.
0 좋아요
보안최강
Active Level 2
갤럭시 S

그렇군요 그런데 보안폴더에 계정 초기화 등 문제점이 심각한데 그딴것도 안고치면서 뭔 보안앱인지 ㅋㅋ 자고로 보안앱이면 자기가 비번 외우고 그걸 까먹으면 못푸는 방식이어야지. 

이건 뭐 아무리 생각해도 미친거임. 여러모로 

0 좋아요
AlexFisher
Active Level 5
갤럭시 S
그런건 보안문제점이 아닙니다. 보안성을 일부낮추고 편의성을 높였다 라고합니다.

만약 해당 기능이 탑재되어있지않다면 보안폴더 비밀번호 까먹었으니 찾아달라거나 잠금을 초기화시켜달라며 A/S센터에 하루가 멀다하고 찾아갈겁니다. 해당 부분도 감안하여 삼성계정을통해 보안폴더를 초기화하는기능을 탑재한걸로 생각됩니다.
0 좋아요
보안최강
Active Level 2
갤럭시 S

아니긴 뭐가 아닙니까?? 정 아니면 옵션으로 초기화 기능 남겨두던가 하면 그만인데 제정신으로 하는말인지. 애초 보안앱이면서 초기화기능 강제로 남겨두는건 비정상적인 일이며 여러 소비자들의 의견을 묵살하는데 이게 삼성이 미친짓인거지. 

AlexFisher
Active Level 5
갤럭시 S
안드로이드 잠금은 복구 해제 기능이 옵션인데도 사용자가 제대로 설정하지않아 잠금을 해제해달라고 서비스센터에 찾아가는경우도 많습니다.

보안폴더도 복구를 옵션으로 제공해버린다면 위와 같은 일이 부지기수로 일어날겁니다.

기업입장에서는 이런거 하나를 복구 옵션으로 제공함으로인해서 서비스센터에서 응대 시 발생하는 인력, 시간적 손실은 마이너스요소입니다.

그리고 애초에 지극히 일반적인 사람들중에 비상시에 복구할 수 없도록 하는 기능을 '개인적'으로 필요로 하는 사람은 없습니다. 개인적으로 이러한 기능이 필요하다고 하는사람은 제가 아는 한 딱 한가지 부류. 범죄자밖에없습니다.

이런 기능이 필요로 하는 지극히 정상적인 일반인들은 이미 회사에서 보안 인프라나 정책이 다 구축되어있어서 본인들이 신경쓸 필요가 없는 사람들입니다.

이미 그리고 지극히 개인적인 정보를 다루는데 있어서 강력한 보안성을 가지고 있는 무료 제품들은 이미 다 나와있습니다.

사용자의 입장에서 여러 선택지를 주면 좋겠지만 모든 사용자가 복구 옵션에 대한 요소를 고려해서 제대로 사용하지는 않습니다.

위와 같이 안드로이드 잠금만봐도 알 수 있는 부분입니다. 분명히 복구 기능을 사용하지않으면 '복구'를 할 수 없다고 그렇게나 적어놨는데도 허구한날 서비스센터찾아가서 복구해달라고 이야기합니다.

보안폴더에 해당 기능을 복구 옵션으로 제공한다 한들.
모든 사용자가 복구 기능을 사용하지않으면 복구 할 수 없음에도 동의를 함에도 불구하고 분명히 잠금을 해제하지못해 서비스센터찾아가서 풀어달라고하는경우가 나올겁니다.

기업은 이러한 요소를 고려해서 서비스하는것이지 단순하게 한가지를 고려해서 서비스하지는 않습니다.

만약 정말로 본인이 지극히 정상적인 일반인인데도 불구하고 정말로 중요하면서도 법적으로 아무 문제없는 개인적인 정보를 다뤄야한다면 VeraCrypt, EDS, Boxcryptor같은 애플리케이션을 찾아보거나

Knox Partner Program에 가입해서 직접 제작해서 사용하시길 바랍니다.
0 좋아요
AlexFisher
Active Level 5
갤럭시 S
애플하고 삼성하고는 아예 운영체제나 내부적인 정책자체가 다르다니까 이해를 못하시네.

나도 갤럭시 S20 + 버즈 + 공기청정기 합쳐서 240만원 가까이주고샀는데 광고띄우는거 안그래도 짜증나는데

편을왜들어주겠습니까? 애플도 Knox같은거 있으면 진작에 갈아탔을건데 없어서 그냥 갤럭시 쓰고있는건데.
0 좋아요
갤럭시넘버원
Beginner Level 4
갤럭시 S
보안없는 보안폴더
0 좋아요