구글이 안드로이드5.0 롤리팝, 안드로이드 6.0 마시멜로 등 최신 안드로이드 운영체제(OS)에 영향을 줄 수 있는 심각한 취약점들에 대한 보안패치를 공개했다.
구글은 개발자 블로그를 통해 자체 개발한 안드로이드기기인 넥서스 시리즈에 대한 최신 보안업데이트 내역을 공지했다.
음악, 동영상 등을 재생하는 영역은 물론 스마트폰에 탑재되는 각종 칩이 사용하는 영역까지 취약점에 노출될 수 있는 것으로 확인돼 빠른 업데이트가 필요할 것으로 전망된다.
보안패치가 이뤄진 취약점 중 심각한(critical)한 문제를 일으킬 수 있는 것들을 다음과 같다.
먼저 미디어서버에서 원격 악성코드 실행할 수 있게 하는 취약점(CVE-2015-6636)이다. 미디어서버는 안드로이드OS에서 사진, 음악, 동영상 등 파일을 관리하는 프로세서로 안드로이드기기에 저장된 해당 파일들을 미리 스캔해 여러 앱에서 사용할 수 있도록 돕는 기능을 한다.
문제는 공격자가 미디어서버를 악용해 메모리커럽션, 원격코드실행 등 공격을 수행할 수 있다는 점이다. 미디어서버로부터 파일들을 불러오는 멀티미디어메시지서비스(MMS), 웹브라우저를 통한 미디어 재생 등이 여기에 해당한다.
두번째는 반도체 제조사인 미디어텍이 제공하는 misc-sd 드라이버에서 발견된 취약점(CVE-2015-6637)이다. 이 취약점은 안드로이드 커널 내에 악성코드를 삽입할 수 있게 한다.
세번째는 또 다른 반도체 회사인 이매지네이션 테크놀로지스가 제공하는 커널 드라이버에서 발견된 취약점(CVE-2015-6638)으로 앞서와 마찬가지로 악성코드를 삽입해 공격자가 관리자 권한을 획득할 수 있게 한다.
이 두 가지의 취약점은 해당 칩을 탑재한 안드로이드기기가 모두 영향을 받을 수 있다는 점에서 빠른 대응이 필요하다.
네번째는 안드로이드기기 내에서 제공되는 안전한 실행공간인 '트러스트존'에서 악성코드를 실행할 수 있는 취약점(CVE-2015-6639)이다. 와이드바인 QSEE 트러스트존 애플리케이션에서 발견된 이 취약점은 퀄컴이 안드로이드기기 내에서 안전한 실행공간을 제공하기 위해 사용하는 드라이버인 QSEECOM을 악용해 트러스트존 내에 악성코드를 실행할 수 있게 한다.
관련기사
- "SW취약점 신고 포상제, 민간 기업 참여 늘리겠다"2016.01.05
- 일부 주니퍼 장비, 3년 전부터 백도어에 노출2016.01.05
- MS, 엣지 브라우저 취약점 업데이트2016.01.05
- 윈도비스타서 윈도10까지...MS 취약점 긴급패치2016.01.05
끝으로 또 다른 취약점(CVE-2015-6640)은 안드로이드 커널 내에 악성코드를 삽입하는 것으로 공격자가 해당 기기에 대한 관리자 권한을 얻을 수 있게 하는 것이다.
구글은 자사가 개발, 공급 중인 넥서스에 이들 취약점을 해결할 수 있는 보안업데이트를 제공하고 있으며, 삼성전자, LG전자 등 주요 안드로이드폰 제조사들 역시 공통된 취약점을 해결하기 위한 업데이트를 제공할 예정이다.
