안전하지 않은 DNS 설정

OWASP 카테고리: MASVS-NETWORK: 네트워크 커뮤니케이션

개요

개발자가 애플리케이션의 DNS 전송 동작을 맞춤설정하거나 기기 기본값을 우회하거나 사용자가 Android 9 이상에서 비공개 DNS 서버를 지정하면 보안이 취약한 DNS 구성이 발생할 수 있습니다. 알려진 양호한 DNS 구성에서 벗어나면 사용자가 DNS 스푸핑이나 DNS 캐시 오염과 같은 공격에 취약해져 공격자가 사용자 트래픽을 악성 사이트로 리디렉션할 수 있습니다.

영향

악성 네트워크 공격자가 DNS를 스푸핑할 수 있는 경우 사용자의 의심을 사지 않고 사용자를 자신이 관리하는 웹사이트로 몰래 리디렉션할 수 있습니다. 예를 들어 이 악성 웹사이트는 사용자의 개인 식별 정보를 피싱하거나, 사용자의 서비스 거부를 유발하거나, 사용자에게 알림 없이 웹사이트로 리디렉션할 수 있습니다.

위험: 취약한 DNS 전송 보안

맞춤 DNS 구성을 사용하면 앱이 Android 9 이상의 Android에 내장된 DNS 전송 보안을 우회할 수 있습니다.

완화 조치

Android OS를 사용하여 DNS 트래픽 처리

Android OS에서 DNS를 처리하도록 허용합니다. SDK 수준 28부터 Android는 DNS over TLS를 통해 DNS 전송에 보안을 추가했으며 SDK 수준 30에서는 DNS over HTTP/3를 추가했습니다.

SDK 수준 28 이상 사용

SDK 수준을 28 이상으로 업데이트합니다. 이 완화에는 여기에서 확인할 수 있는 잘 알려진 보안 공개 DNS 서버와의 통신이 필요합니다.

리소스