구글은 지난 10월 4일 실제 공격에 사용되고 있는 패치되지 않은 안드로이드 제로데이 취약점을 발견했다고 밝혔다.
이 취약점은 안드로이드 운영체제의 커널 코드에 존재하며 공격자가 장치에 대한 루트 권한을 얻는데 사용할 수 있다. 아이러니하게도 이 취약점은 2017년 12월 커널 버전 3.18, 4.14, 4.4, 4.9에서 패치되었으나 최신 버전에서 다시 발견되었다.
구글 연구원들은 이 취약점이 아래와 같은 안드로이드 8.x 이상의 모델들에 영향을 미친다고 설명했다.
- 안드로이드 9 및 안드로이드 10 프리뷰가 포함된 픽셀 2
- 화웨이 P20
- 샤오미레드미 5A
- 샤오미레드미노트5
- 샤오미 A1
- 오포 A3
- 모토 Z3
- 오레오 LG폰
- 삼성 S7, S8, S9
구글 연구원들은 또한 “익스플로잇은 기기에 맞춰 커스터마이징이 거의 필요하지 않다.”라고 언급했는데, 이는 위에 열거한 수동으로 확인한 기기 외에도 광범위한 기기들에도 작동할 수 있다는 것을 의미한다.
이 취약점은 구글 프로젝트 제로팀에 의해 발견되었고, 이후 회사의 위협 분석 그룹(TAG)은 실제 공격에 사용된 것을 확인했다. 이 두 팀은 지난 달, iOS 사용자들을 상대로 한 14개의 제로데이를 발견하기도 했다.
안드로이드 제로데이와 iOS 제로데이는 서로 연관은 없는 것으로 보인다. iOS 사용자에 대한 공격은 자국민에 대한 감시활동을 수행하는 중국 국가 배후 단체와 연계되어 있지만, 현재 안드로이드 제로데이에 대한 세부사항은 제한되어 있다.
구글의 TAG는 안드로이드 제로데이가 공격과 감시 도구를 판매하는 것으로 알려진 이스라엘 유명 기업인 NSO 그룹의 소행이라고 생각한다고 밝혔다.
NSO는 억압적인 정권에 해킹도구를 팔았다는 비난을 받고 있지만, 그들은 증가하는 비난에 직면해 있으며 최근 무고한 사람이나 정적들을 염탐하기 그들의 도구를 남용하는 고객들과 싸우겠다고 약속했다. 그들은 이번 공격이 자신들의 공격 중 하나라는 것을 부인하며 다음과 같이 알렸다.
“NSO는 익스플로잇이나 취약점을 구매한적 없고 사지도 않을 것이다. 이번 공격은 NSO와 아무 관련이 없다. 우리의 연구는 허가받은 정보기관과 사법기관이 생명을 구할 수 있도록 고안된 제품 개발에 초점을 맞추고 있다.”
좋은 소식은 이번 안드로이드 제로데이는 다른 제로데이 만큼 위험하지는 않다는 것이다. 우선 사용자 상호작용 없이 이용할 수 있는 원격코드 실행이 아니다. 공격자가 이 취약점을 이용하기 전에 충족해야 할 조건이 있다.
안드로이드 오픈소스 대변인은 “이번 이슈는 안드로이드에서 높은 심각도로 평가되며, 그 잠재적인 익스플로잇을 위해 악성 어플리케이션 설치가 필요하다. 웹 브라우저와 같은 다른 공격 벡터는 추가적인 익스플로잇과 함께하는 체인이 필요하다.”고 설명했다.
“안드로이드 파트너들에게 공지했고, 패치는 안드로이드 커널에서 이용 가능하다. 픽셀 3와 3a 기기는 취약하지 않지만 1과 2기기는 10월 업데이트 일환으로 이 문제에 대한 업데이트를 받게 될 것이다.”라고 안드로이드 팀은 말했다.
현제 제로데이는 CVE-2019-2215가 할당되어 있다. 프로젝트 제로팀이 등록한 이 버그 트래커 엔트리에는 이 버그를 재현하고 다른 장치를 테스트하려는 보안 연구자를 위한 개념증명코드(PoC)와 추가 세부 정보가 등록되었다.
-버그 트래커: 클릭
[PASCON 2019 개최]
·하반기 최대 정보보안/개인정보보호 컨퍼런스 PASCON 2019
·7시간 보안교육 이수 및 2020년 대비 보안실무 교육
·공공,기업 개인정보보호 및 정보보안 실무자라면 누구나 무료 참석
-무료사전등록: 클릭
★정보보안 대표 미디어 데일리시큐!★