보안 취약점 · 2 min read · Oct 24, 2025

기본 안드로이드 브라우저 SOP 우회 결함으로 해커가 열린 탭에서 데이터 도용 가능

Table Of Contents

  • 기본 안드로이드 브라우저 SOP 우회 결함
  • 오직 안드로이드 기본 브라우저만 영향을 받음
  • 개념 증명
  • Android KitKat 4.4 및 그 이상에서 패치된 SOP 우회 결함
  • 구형 안드로이드 >4.4 사용자 여전히 취약?
  • 취약한 스마트폰

기본 안드로이드 브라우저 SOP 우회 결함

보안 연구원 라파이 발로치는 안드로이드 기본 브라우저에서 해커가 열린 탭/페이지에서 민감한 데이터를 도용할 수 있는 결함을 발견했습니다. 최신 동일 출처 정책(SOP) 우회 취약점은 연구원 라파이 발로치가 발견한 두 번째 취약점으로, 첫 번째는 지난달 발견된 CVE-2014-6041입니다.

오직 안드로이드 기본 브라우저만 영향을 받음

동일 출처 정책(SOP) 우회 취약점은 오직 기본 안드로이드 브라우저에만 영향을 미칩니다. 이 취약점은 프레임 URL을 로드하는 안드로이드 기능에서 자바스크립트를 처리하는 방식에 있습니다. 일반적으로 모든 브라우저에서 SOP는 한 페이지나 탭의 자바스크립트가 다른 페이지나 탭의 데이터/내용에 접근하는 것을 방지합니다. 그러나 안드로이드 브라우저에는 SOP를 우회하고 다른 탭의 데이터를 읽거나 수집할 수 있는 결함이 있습니다. 쉽게 말해, 신용카드 정보를 입력한 탭/페이지가 열려 있고 SOP를 우회한 자바스크립트가 있는 페이지를 열면 해커가 다른 열린 페이지에서 신용카드 정보를 읽을 수 있는 가능성이 있습니다.

개념 증명

라파이는 자신의 블로그에 안드로이드 브라우저가 실제로 취약하다는 것을 증명하기 위해 개념 증명을 게시했습니다. PoC는 아래에 라파이 발로치의 제공으로 나와 있습니다.

안드로이드 브라우저 취약점 POC

라파이는 자신의 블로그에서 “최근 내 안드로이드 SOP 우회 [CVE-2014-6041]가 정보 보안 커뮤니티에서 많은 반향을 일으켰기 때문에 안드로이드 브라우저에 대해 좀 더 연구해 보게 되었습니다. 결과적으로 상황이 내가 생각했던 것보다 훨씬 나쁘다는 것을 알게 되었고, 안드로이드 브라우저 내부에서 꽤 흥미로운 취약점을 여러 개 발견했습니다. 그 중 하나가 또 다른 동일 출처 정책 우회 취약점입니다. 더 나쁘게 만드는 것은 이 SOP 우회가 몇 년 전에 크롬에서 이미 수정되었지만, 패치가 안드로이드 브라우저 < 4.4에는 적용되지 않았다는 것입니다.”

Android KitKat 4.4 및 그 이상에서 패치된 SOP 우회 결함

라파이는 구글이 이 결함을 인지하고 최신 운영 체제인 안드로이드 KitKat 4.4에서 패치했다고 말합니다. 그러나 이상한 이유로 구글은 4.4 미만의 안드로이드 버전에서는 패치를 하지 않았습니다. ThreatPost의 별도 게시물에서 구글은 이 취약점이 안드로이드 4.1-4.3(Jellybean) 출시와 함께 패치되었다고 밝혔습니다.

구형 안드로이드 >4.4 사용자 여전히 취약?

위에서 언급했듯이 구형 안드로이드 사용자는 여전히 이 주요 보안 위협에 취약합니다. 구글은 구글 넥서스 등 자사 스톡 에디션 핸드셋과 태블릿에 최신 안드로이드 버전을 배포하고 있으며, 많은 대형 제조업체들이 자사 플래그십 제품에 최신 펌웨어를 배포하지만, 시장에 있는 대부분의 스마트폰과 태블릿은 구글 플레이 에디션 장치도 아니고 소니 Z3나 삼성 갤럭시 S5와 같은 플래그십도 아닙니다.

이 결함은 중하위 및 중간 세그먼트 스마트폰 구매자에게 가장 큰 영향을 미칩니다. 보안 공급업체 viaForensics의 모바일 서비스 부사장인 테드 유얼은 “브라우저가 KitKat(버전 4.4) 이전의 많은 장치에 기본으로 포함되어 있었기 때문에 잠재적으로 수십만 명의 영향을 받는 사용자가 있을 수 있습니다.”라고 말했습니다.

취약한 스마트폰

취약할 가능성이 있는 전화기에는 삼성 갤럭시 S3, 삼성 갤럭시 노트 2, 모든 중간 및 저가형 삼성 스마트폰 및 태블릿, LG 옵티머스 G, LG G2 및 모든 중간 및 저가형 LG 스마트폰 및 태블릿, 모토로라 드로이드 RAZR, 소니의 모든 스마트폰 라인이 포함되며, 안드로이드 4.4 KitKat으로 업그레이드된 기기를 제외합니다.

다행히도 SOP 우회 취약점의 영향을 받는 것은 오직 기본 안드로이드 브라우저뿐입니다. 안드로이드 4.4 KitKat 이전의 운영 체제를 가진 안드로이드 스마트폰/태블릿을 사용하는 경우, 크롬, 파이어폭스 또는 다른 브라우저를 통해 웹을 탐색하는 것이 좋습니다. 아직 크롬이나 파이어폭스를 다운로드하지 않았다면, 지금 구글 플레이 스토어에서 다운로드하고 해당 브라우저를 기본 브라우저로 설정하는 것이 좋습니다.

루팅된 안드로이드 장치를 사용하는 경우 기본 안드로이드 브라우저를 제거해야 합니다.

이 심각한 취약점에 대한 의견을 요청받은 AT&T는 논평 요청에 응답하지 않았고, Verizon Wireless는 고객이 전화기 업데이트가 가능한지 확인할 수 있는 웹사이트가 있다고 언급했습니다.

“우리는 고객이 훌륭한 경험을 할 수 있도록 철저한 테스트 후에 소프트웨어 업데이트를 정기적으로 제공합니다.”라고 회사의 대변인인 데브라 루이스가 말했습니다.

Share: X/Twitter LinkedIn
#보안 취약점

새 게시물을 받은 편지함에서 받기

스팸은 없습니다. 언제든지 구독 해지 가능합니다.