Dart/Flutter의 취약한 PRNG로 인한 보안 취약성
2024-12-13
Zellic의 연구에 따르면 Dart/Flutter의 취약한 의사난수 생성기(PRNG)로 인해 여러 보안 취약성이 발생했습니다. Dart SDK 내의 `Random()` 함수 초기화 방식에 결함이 있어 생성된 키의 엔트로피가 부족하여 무차별 대입 공격에 취약해졌습니다. 이로 인해 공격자는 Dart Tooling Daemon에 쉽게 접근하여 작업 공간 파일을 읽거나 쓰고 임의 코드를 실행할 수 있습니다. 또한 Proton Wallet과 SelfPrivacy 프로젝트도 이 취약한 PRNG의 영향을 받아 암호화 취약성과 예측 가능한 비밀번호 문제가 발생했습니다. 취약성은 수정되었지만 개발자는 `Random()` 함수 사용에 주의하고 암호화에 안전한 난수가 필요한 경우 `Random.secure()`를 사용하는 것이 좋습니다.
더 보기
개발