구글 프로젝트 제로 연구원이 삼성 기기에서 취약점 발견

구글 프로젝트 제로의 연구원들은 금요일 사용자 상호작용 없이 원격 공격자가 삼성 기기에서 임의의 코드를 실행할 수 있는 제로 클릭 취약점을 공개했습니다.

CVE-2024-49415( CVSS 점수: 8.1)로 추적되는 이 취약점은 오디오 재생을 담당하는 C2 미디어 서비스의 libsaped.so 라이브러리의 saped_rec 함수에서 발생하는 경계 초과 쓰기 문제입니다. 이 취약점은 안드로이드 버전 12, 13 및 14를 실행하는 삼성의 플래그십 갤럭시 S23 및 S24 기기에서 사용되는 몽키 오디오(APE) 디코더에 영향을 미쳤습니다.

“SMR 2024년 12월 릴리스 1 이전의 libsaped.so에서의 경계 초과 쓰기는 원격 공격자가 임의의 코드를 실행할 수 있게 합니다. 패치는 적절한 입력 검증을 추가합니다.”라고 2024년 12월 삼성의 월간 보안 업데이트의 일환으로 발표된 결함에 대한 권고문에 적혀 있습니다.

공격이 어떻게 수행될 수 있나요?

2024년 9월 21일 삼성에 취약점을 식별하고 보고한 구글 프로젝트 제로의 연구원인 나탈리 실바노비치는 공격자가 사용자 개입이 필요 없는 악성 오디오 파일을 전송하여 공격을 수행할 수 있다고 말했습니다(제로 클릭), 이는 잠재적으로 위험합니다.

이 결함은 삼성의 RCS(리치 커뮤니케이션 서비스) 메시지 처리 방식, 특히 안드로이드의 구글 메시지 앱을 통해 수신되는 오디오 메시지가 구문 분석되고 처리되는 방식에서 발생했습니다. 이 설정은 갤럭시 S23 및 S24 모델에서 기본적으로 활성화되어 있습니다.

“libsaped.so의 saped_rec 함수는 C2 미디어 서비스에 의해 할당된 dmabuf에 쓰기를 수행하며, 이 dmabuf는 항상 크기 0x120000으로 보입니다. libsapedextractor에 의해 추출된 최대 blocksperframe 값도 0x120000으로 제한되어 있지만, 입력의 샘플당 바이트가 24인 경우 saped_rec는 최대 3 * blocksperframe 바이트를 쓸 수 있습니다. 이는 blocksperframe 크기가 큰 APE 파일이 이 버퍼를 상당히 오버플로우할 수 있음을 의미합니다.”라고 실바노비치는 그녀의 버그 보고서에 적었습니다.

“구글 메시지가 RCS에 대해 구성된 경우(이 장치의 기본 구성), 이는 삼성 S24에서 완전히 원격(0 클릭) 버그라는 점에 유의하십시오. 전사 서비스는 사용자가 전사 목적으로 메시지와 상호작용하기 전에 수신 오디오를 디코딩합니다.”

가상의 공격 시나리오에서 공격자는 RCS가 활성화된 기기에 특별히 제작된 오디오 메시지를 전송하여 취약점을 악용할 수 있으며, 이로 인해 기기의 미디어 코덱 프로세스(“samsung.software.media.c2”)가 충돌하고 추가 악용의 길이 열릴 수 있습니다.

위의 결함 외에도 삼성의 2024년 12월 업데이트는 또 다른 취약점인 CVE-2024-49413(CVSS 점수: 7.1)을 수정했습니다. 이 취약점은 스마트 스위치 앱과 관련이 있으며, 로컬 공격자가 불충분한 암호 서명 검증을 악용하여 악성 애플리케이션을 설치할 수 있게 했습니다.

삼성이 결함을 수정했지만, 사용자들은 최신 보안 업데이트로 RCS가 활성화된 기기를 업데이트하는 것이 좋습니다. 또한 제로 클릭 악용의 위험을 줄이기 위해 구글 메시지에서 RCS를 비활성화하는 것이 좋습니다.