Home > 전체기사
픽셀 2, LG 폰, 삼성 폰에서 고위험군 취약점 발견돼
  |  입력 : 2019-10-07 11:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
구글 10 프리뷰 버전 깐 최신 장비에서도 발견되는 예전 취약점
과거 발견됐을 때는 CVE 번호 지정되지 않아…해커들의 장비 장악 가능


[보안뉴스 문가용 기자] 패치가 완전히 된 픽셀 2(Pixel 2) 장비에서 취약점이 발견됐다. 안드로이드 10 프리뷰 버전을 사용한 장비에서도 발견된다고 하는데, 이 취약점은 이전에도 이미 남용된 적이 있다고 한다. 구글 프로젝트 제로(Google Project Zero) 팀에서 발표했다.

[이미지 = iclickart]


문제의 취약점은 CVE-2019-2215로, 바인더 드라이버(binder driver)에서 발견된 일종의 UaF(use-after-free) 버그라고 한다. 익스플로잇에 성공할 경우 시스템 마비를 일으킬 수 있다고 프로젝트 제로의 매디 스톤(Maddie Stone)이 밝혔다.

이 오류는 최근 보안 패치를 마친 픽셀 2 장비의 코드 점검을 진행하던 중에 발견됐다고 한다. 이번에 처음 발견된 게 아니라, 2017년 12월 4.14 리눅스 커널과 AOSP 3.18 커널과 4.4 커널, 4,9 커널에서 이미 한 번 발견된 적이 있는 것이라고 한다.

문제를 추적해나가며 프로젝트 제로 팀은 다른 안드로이드 기반 장비들에도 같은 문제가 있음을 알아냈다.
1) 화웨이 P20
2) 샤오미 홍미 5A
3) 홍미노트 5
4) 샤오미 A1
5) 오포 A3
6) 모토롤라 모토 Z3
7) 안드로이드 8 오레오 기반 LG 장비들
8) 삼성 갤럭시 S7, S8, S9

현재 이 취약점은 해커들의 실제 공격에 익스플로잇 되고 있는 중이라고 한다. “현재까지 저희가 수집한 정보에 따르면 이 취약점을 겨냥한 안드로이드 익스플로잇이 한 개 널리 사용되고 있는데, 이스라엘의 스파이웨어 제조사인 NSO가 만든 것으로 보입니다. NSO는 악명 높은 iOS 멀웨어인 페가수스(Pegasus)를 만든 것으로 유명한 그룹입니다.”

스톤은 “CVE-2019-2215는 UaF 취약점으로, 커널 권한 상승을 일으킬 수 있다”며 세부적인 기술 사항들을 공개하기도 했다. “픽셀 2 장비에서 주로 나타나지만 픽셀 1에도 같은 취약점이 있는 것으로 알려져 있습니다. 또한 픽셀 3와 3a의 경우에는 없는 것으로 보입니다.”

이 취약점이 과거에 리눅스 커널 4.14 버전 등에서 발견되었을 때는 CVE 번호가 따로 지정되지 않았었다. 그래서 2019라는 CVE 번호가 붙은 것이다. “안드로이드의 isolated_app SE리눅스(SELinux) 도메인의 크롬 렌더러 프로세스를 통해 익스플로잇이 가능합니다.”

그러면서 스톤은 “이 취약점을 통해 권한을 상승시키는 데 성공한 공격자라면, 표적이 된 장비를 완전히 장악할 수 있게 된다”고 설명한다. “다만 그렇게까지 익스플로잇을 하려면 취약한 시스템에 악성 애플리케이션이 먼저 설치되어 있어야 합니다.”

악성 애플리케이션이 웹을 통해 배포될 경우, 렌더러 익스플로잇(renderer exploit)과 페어링이 되어야 한다는 점도 있다. “이 취약점은 샌드박스를 통해 접근할 수 있기 때문”이라고 스톤은 설명을 잇는다.

구글은 이 취약점을 ‘고위험군’이라고 분류했다. 2019년 10월에 발표될 여러 가지 패치들을 통해 문제를 해결할 계획이라고 한다.

3줄 요약
1. 패치 다 된 픽셀 2 핸드폰에서 UaF 취약점 발견됨.
2. 이전에도 발견된 것이었으나, 당시에는 CVE 번호가 붙지 않았음.
3. 픽셀 외 많은 장비들에서도 같은 문제 발견됨. 장비 장악당할 수 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/VR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제