[논문 리뷰] Mind the GAP: Security & Privacy Risks of Contact Tracing Apps
이 논문은 Google/Apple 노출 알림(GAP) API—독일의 코로나-워른-앱과 같은 주요 접촉 추적 앱에서 사용되는 것—이 두 가지 실제 공격에 취약하다고 밝힌다: 감염자에 대한 프로파일링 및 익명성 해제 공격, 그리고 가짜 근접 이벤트를 생성하는 릴레이 기반 웜홀 공격. 저자들은 모바일 기기와 라즈베리 파이를 사용하여 이러한 공격을 구현하고 검증하였으며, 반복적으로 위조된 근접 식별자를 방송함으로써 공격자가 잘못된 고위험 경고를 유도할 수 있음을 보여주었다.
Google and Apple have jointly provided an API for exposure notification in order to implement decentralized contract tracing apps using Bluetooth Low Energy, the so-called "Google/Apple Proposal", which we abbreviate by "GAP". We demonstrate that in real-world scenarios the current GAP design is vulnerable to (i) profiling and possibly de-anonymizing infected persons, and (ii) relay-based wormhole attacks that basically can generate fake contacts with the potential of affecting the accuracy of an app-based contact tracing system. For both types of attack, we have built tools that can easily be used on mobile phones or Raspberry Pis (e.g., Bluetooth sniffers). The goal of our work is to perform a reality check towards possibly providing empirical real-world evidence for these two privacy and security risks. We hope that our findings provide valuable input for developing secure and privacy-preserving digital contact tracing systems.
연구 동기 및 목표
- 분산식 접촉 추적을 위한 Google/Apple 노출 알림(GAP) API의 실제 공격 가능성을 평가한다.
- GAP 기반 시스템에서 감염자에 대한 프로파일링 및 익명성 해제에 대한 이론적 우려를 경험적으로 검증한다.
- 가짜 근접 이벤트를 생성하고 잘못된 고위험 경고를 유도하는 릴레이 기반 웜홀 공격의 실용성을 입증한다.
- GAP 기반 접촉 추적 애플리케이션의 보안 및 프라이버시를 향상시키기 위한 실질적인 통찰을 제공한다.
- 공격 벡터가 독일 코로나-워른-앱과 같은 널리 배포된 앱에 미치는 영향을 평가한다.
제안 방법
- 저자들은 모바일 기기와 라즈베리 파이를 사용하여 블루투스 기반 웜홀 장치를 구현하여 노출 알림 식별자(RPI)를 릴레이하고 재방송하였다.
- 프랑크푸르트의 코로나19 검사 센터와 같은 고감염율 지역에서 실질적인 실험을 수행하여 감염자 수와 RPI 노출 빈도를 측정하였다.
- 감염자로부터의 RPI를 거리에서 재방송함으로써 릴레이 공격을 시뮬레이션하였으며, 웜홀을 모방하여 가짜 근접 이벤트를 생성하였다.
- 공격 상황에서 독일 코로나-워른-앱의 동작을 분석하여 RPI 수신 빈도와 고위험 경고가 유도되는 조건을 측정하였다.
- 실제 테스트 센터에서 확보한 경험적 데이터를 사용하여 감염 유병률과 앱 공유 비율이 다양할 경우의 공격 성공률를 추정하였다.
- RPI 유효 기간(120분)과 TEK(임시 노출 키) 유효 기간(24시간)이 공격 지속성과 탐지에 미치는 영향을 평가하였다.
실험 결과
연구 질문
- RQ1실제 공격자가 GAP API의 노출 알림 메커니즘을 이용해 감염자에 대한 프로파일링 및 익명성 해제를 수행할 수 있는가?
- RQ2릴레이 기반 웜홀 공격이 충분한 가짜 근접 이벤트를 생성하여 GAP 기반 접촉 추적 앱에서 잘못된 고위험 경고를 유도할 수 있는가?
- RQ3모바일 기기와 라즈베리 파이와 같은 저비용 하드웨어를 사용할 경우 이러한 공격의 실용성과 확장성은 어떠한가?
- RQ4다양한 감염률과 사용자 보고 행동이 실제 환경에서 이러한 공격의 성공률에 어떤 영향을 미치는가?
- RQ5현재의 RPI 및 TEK 유효 기간이 이러한 공격의 지속성과 영향력에 미치는 영향은 무엇인가?
주요 결과
- 메히코(41% 검사 양성률)와 같은 고감염율 지역에서는 공격자가 시간당 최대 123명의 감염자 관찰이 가능하며, 약 12.10명이 감염 상태를 업로드하여 약 5분마다 긍정적인 RPI를 확보할 수 있다.
- RPI가 120분 동안 유효하기 때문에, 공격자는 원래 감염자가 지역을 떠난 후에도 신호를 재생할 수 있어 지속적인 근접성의 오해를 유지할 수 있다.
- 단일 웜홀 장치가 시간당 약 825대의 모바일 기기에게 RPI를 방송할 수 있으며, 주간 낮 시간 동안 14일 동안 최대 306,600개의 RPI를 제출할 수 있다.
- 독일 코로나-워른-앱은 이러한 공격에 취약하며, 단일 웜홀 장치가 10분 이상 릴레이된 RPI에 노출된 사용자에게 고위험 경고를 유도할 수 있다.
- 연구 결과에 따르면 현재의 2시간 RPI 및 24시간 TEK 유효 기간이 가짜 접촉 이벤트의 공격 표면과 지속성을 크게 증가시킨다.
- RPI 및 TEK 유효 기간을 단축시키면 공격 영향을 완화할 수 있으나, 이는 시스템 효율성과 배터리 소모 측면에서 상충 요소를 초래할 수 있다.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.