구글이 삼성 엑시노스칩에서 심각한 보안취약점을 발견하고 경고했으며, 이 중 일부는 원격으로 악용되어 사용자 개입 없이 휴대폰을 완전히 손상시킬 수 있다고 더해커뉴스가 보도했다.  

보도에 따르면, 18개의 제로데이 취약점은 삼성, Vivo, 구글의 안드리오드 스마트폰, Exynos W920 칩셋을 사용하는 웨어러블, Exynos Auto T5123 칩셋이 장착된 차량에 영향을 미친다고 전했다. 

2022년 말과 2023년 초에 이 문제를 보고한 구글 프로젝트 제로는 18개의 결함 중 4개가 위협 행위자가 인터넷-베이스밴드 원격 코드 실행을 달성할 수 있도록 한다고 밝혔다.

구글 프로젝트 제로팀의 윌리스는 “네 가지 취약점으로 인해 공격자는 사용자 개입 없이 베이스밴드 수준에서 전화를 원격으로 손상시킬 수 있으며, 공격자는 피해자의 전화번호만 알면 된다”고 말했다.

그렇게 함으로써 위협 행위자는 대상 장치를 드나드는 셀룰러 정보에 대한 확고한 액세스 권한을 얻을 수 있다. 버그에 대한 추가 세부 정보 공개는 보류되었다.

이 공격은 실행하기 힘든 것처럼 들릴 수 있지만, 반대로 영향을 받는 장치를 조용히 원격으로 침해하는 작전 익스플로잇을 신속하게 고안할 수 있는 숙련된 공격자의 손이 닿는 범위 내에 있다.

나머지 14개의 결함은 악성 모바일 네트워크 내부자 또는 장치에 대한 로컬 액세스 권한이 있는 공격자가 필요하기 때문에 비교적 심각하지 않은 것으로 알려져 있다.

Pixel 6 및 7 핸드셋은 2023년 3월 보안 업데이트의 일부로 이미 수정 사항을 받았지만 다른 기기의 패치는 제조업체의 일정에 따라 달라질 것으로 예상된다.

그때까지 사용자는 이러한 취약점의 악용 위험을 제거하기 위해 장치 설정에서 와이파이 통화 및 VoLTE(Voice over LTE)를 끄는 것이 좋다고 구글은 전했다. 

---

★G-PRIVACY 2023 개최★

▶상반기 최대 개인정보보호&정보보안 컨퍼런스! 

▶공무원 및 일반기업 CISO, CPO, 보안실무자 7시간 보안교육 이수!

▶2023년 보안업무에 필요한 최신 실무 정보 및 보안솔루션 정보가 한 눈에!

-주최: 데일리시큐

-후원: 관계 기관

-참가대상: 전국 공공·지자체·교육기관·금융기관·일반기업 CPO, 개인정보보호 담당자, CISO, 정보보안 책임자, 실무자 등

-일시: 2023년 3월 23일(오전 9시~오후 5시 00분)

-장소: 더케이호텔서울 2층 가야금홀

-인원: 공공기관, 지자체, 공기업, 일반기업, 금융기관보안담당자 1,000명 이상

-사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!