CyLab-Africa와 Upanzi Network의 연구원들은 최근 모바일 보안 제공업체인 Approov와 제휴하여 아프리카 전역에서 사용되는 일반적인 금융 서비스 앱의 보안을 조사했습니다.224개의 인기 금융 애플리케이션을 조사한 결과, 연구원들은 이러한 Android 앱 중 95%가 개인 및 금융 데이터를 공개하는 데 사용할 수 있는 비밀을 노출한다는 사실을 발견했습니다.이러한 애플리케이션 전체에서 약 2억 7,200만 명의 사용자가 보안 결함의 피해자가 될 가능성이 있습니다.

카네기 멜론 대학 아프리카 팀에는 르완다의 CyLab-Africa에서 연구원으로 일하고 있는 동문과 재학생이 포함되었습니다: Theoneste Byagutangaza(MSIT '23), Trevor Henry Chiboora(MSIT '23), Joel Jefferson Musiime(MSIT '24)및 Lenah Chacha (MSIT '17).

이 프로젝트는 CyLab-Africa 연구원들이 Approov로부터 지도와 멘토링을 받은 여름 협업 경험의 일부였습니다.CyLab-Africa 공동 디렉터인 Assane Gueye와 Giulia Fanti가 이 프로젝트의 고문으로 활동했습니다.

"이 프로젝트에 참여하는 것은 보람차면서도 도전적인 경험이었습니다. 비밀 키 유출의 결과에 대한 심층적인 연구가 필요했는데, 이는 처음에는 엄청난 작업이었습니다. 그러나 다양한 팀과 협력하면서 문제 해결 능력이 풍부해졌고, 연마되었습니다.CMU에 재학하는 동안 이 프로젝트를 귀중한 학습 기회로 삼았습니다."라고 Byagutangaza는 말합니다.

팀은 북부, 중부, 동부, 서부, 남부 아프리카 국가의 Android 애플리케이션을 선택하고 조사하여보안 위협심각도를 '높음', '중간', '낮음'으로 구분합니다.대부분의 위협은 높음(18%) 및 중간(72%) 범주에 속했습니다.

잠재적으로 무단 액세스, 데이터 유출 및 사용자 개인 정보 보호 침해로 이어질 수 있는 취약성에 대해 심각도가 높은 분류가 사용되었습니다.노출될 경우 사용자 데이터 및 애플리케이션 기능의 기밀성을 잠재적으로 손상시킬 수 있는 비밀에는 중간 심각도가 사용되었습니다.

"모바일 분야의 신인보안Musiime은 "이 프로젝트를 통해 보안 관점에서 모바일 앱의 설계 및 배포를 이해할 수 있었기 때문에 좋은 학습 경험이었습니다."라고 Musiime은 말합니다. "모바일 보안 분야에서 경험이 풍부한 Approov 팀과의 협력은 제게 큰 도움이 되었습니다.학습 과정그들은 항상 연구 전반에 걸쳐 지침과 지원을 제공할 준비가 되어 있었습니다."

작업은 다음에서 정점에 달했습니다.보고서이는 다른 지역과 아프리카 간의 비교를 통해 모바일 애플리케이션 바이너리 패키지의 비밀 키 노출과 관련된 추세, 공통점 및 차이를 정확히 찾아냅니다.예를 들어, 심각도가 높은 비밀 노출 측면에서 서아프리카에 배포된 앱이 가장 많이 노출되었고(20%), 남부 아프리카가 가장 낮았습니다(단 6%).

"그만큼프로젝트보고서는 제품 소유자, 개발자 및 일반 사용자를 포함한 광범위한 대상에게 중요한 가치를 제공합니다.빛을 발할 뿐만 아니라보안 문제Android 패키지의 비밀 및 API 키와 관련이 있을 뿐만 아니라 이러한 문제를 완화하기 위한 귀중한 권장 사항도 제공합니다."라고 Chiboora는 말합니다.