구글, 안드로이드 젤리빈 및 이전 버전의 웹뷰 컴포넌트에 대한 업데이트 제공 중단

9억 명 이상의 사용자들이 구글이 안드로이드 4.3 젤리빈 및 이전 버전의 웹뷰 컴포넌트에 대한 보안 패치를 제공 중단했다고 발표하면서 곤경에 처하다

슬프지만 사실입니다. 스마트폰에서 안드로이드 4.3 및 이전 버전 운영 체제를 사용하는 사람 중 한 명이라면 구글이 안드로이드 동일 출처 정책(SOP) 취약점을 패치해 주기를 기다리고 있지만, 구글로부터는 더 이상 받을 수 없습니다.

파키스탄 보안 연구원 라파이 발로치가 발견한 안드로이드 레거시 SOP 결함은 안드로이드 4.3 젤리빈 및 이전 버전에서 운영되는 약 930,000대의 스마트폰에 탑재된 기본 브라우저의 웹뷰 컴포넌트에 영향을 미칩니다.

웹뷰 컴포넌트의 취약점은 주어진 HTML 객체의 ‘data’ 속성을 자바스크립트 URL 스킴으로 교체할 때 발생합니다. 잠재적인 해커는 UXSS 결함을 이용해 취약한 브라우저 창에서 쿠키 데이터와 페이지 내용을 긁어낼 수 있습니다.

이 보안 구멍은 안드로이드 오픈 소스 플랫폼(AOSP) 브라우저의 모든 버전에서 악용될 수 있으며, 이는 안드로이드 스톡 또는 기본 브라우저로도 알려져 있습니다. 이 취약점은 안드로이드 OS 4.3 젤리빈 및 이전 버전에서만 존재합니다.

Rapid7의 조 베니크와 라파이는 이 취약점에 대한 메타스플로잇 코드를 작성하여 구글과 다른 스마트폰 제조업체들이 이 결함을 패치할 수 있도록 했습니다.

하지만 패치는 오지 않았습니다. 그 사이, 트렌드 마이크로 연구소는 메타스플로잇 코드가 실제로 악용되어 안드로이드 4.3 젤리빈 및 이전 버전에서 운영되는 스마트폰 사용자들의 페이스북 계정을 탈취하는 데 사용되고 있음을 발견했습니다.

이제 Rapid7은 구글에 이 중요한 취약점을 패치해 달라고 요청했으며, 구글로부터 충격적인 답변을 받았습니다. 구글은 안드로이드 4.3 젤리빈 및 이전 버전의 보안 패치를 제공 중단했다고 밝혔습니다. 이는 메타스플로잇의 보안 연구원이 구글로부터 받은 답변이었습니다.

“영향을 받는 버전 [웹뷰의]가 4.4 이전이라면, 일반적으로 패치를 직접 개발하지 않지만, 보고서와 함께 패치를 환영합니다. OEM에 통지하는 것 외에는 패치가 동반되지 않은 4.4 이전 버전에 대한 보고서에 대해 조치를 취할 수 없습니다.”

놀란 보안 연구원인 토드 비어즈리(Rapid7 메타스플로잇 커뮤니티)는 블로그 포스트에서 보고했습니다.

“그래서 구글은 더 이상 4.3에 대한 패치를 제공하지 않을 것입니다. 이는 놀라운 소식입니다.” 그는 덧붙였습니다. “나는 보고자가 자신의 패치를 제공해야 하는 취약점 대응 프로그램을 본 적이 없지만, 그것이 구글의 입장인 것 같습니다. 이 보안 정책의 변화는 너무 기괴하게 보였고, 실제로 공식 구글 정책이라고 믿을 수 없었습니다.”

그의 충격을 확인하기 위해 토드는 구글 보안팀에 다시 문의했으며, 구글 보안팀으로부터 유사한 답변을 받았습니다.

영향을 받는 버전 [웹뷰의]가 4.4 이전이라면, 일반적으로 패치를 직접 개발하지 않지만 파트너에게 문제를 통지합니다[…] 보고서와 함께 패치가 제공되거나 AOSP에 포함되면 파트너에게 제공할 수 있습니다.

구글은 구형 안드로이드 버전의 웹뷰 컴포넌트에 대한 지원만 중단한 것으로 보입니다. 토드가 추가로 문의했을 때, “안드로이드 보안팀은 멀티미디어 플레이어와 같은 다른 킷캣 이전 컴포넌트는 계속해서 백포트 패치를 받을 것이라고 확인했습니다.”라는 답변을 받았습니다.

문제는 현재 이전 안드로이드 버전의 웹뷰 컴포넌트만 취약하다는 것이며, 트렌드 마이크로 연구소에 의해 실제로 악용되고 있음을 입증했습니다. 이 컴포넌트는 가능한 한 빨리 모든 버전에서 패치되어야 하며, 안드로이드 스마트폰 사용자가 SOP 취약점으로 인해 악용되지 않도록 해야 합니다.

이는 또한 약 9억 대의 스마트폰이 잠재적인 해커와 사이버 범죄자에게 악용될 준비가 되어 있다는 것을 의미합니다. 구글의 최신 안드로이드 배포 수치에 따르면, 안드로이드 기기의 46%가 젤리빈을 실행하고 있으며, 킷캣이 39.1%로 뒤따릅니다. 나머지 안드로이드 사용자는 진저브레드(버전 2.3.3-2.3.7, 7.8%의 핸드셋 사용), 아이스크림 샌드위치(버전 4.0.3-4.0.4, 6.7% 사용), 그리고 오래된 프로요(버전 2.2, 0.4% 사용)에 있습니다.

토드 비어즈리는 이것이 구글의 가장 “기괴한” 결정이라고 언급했습니다.

이 스마트폰을 과거에 마케팅했던 스마트폰 제조업체들은 더 이상 이 빌드에 대한 패치/지원을 제공하는 데 관심이 없습니다. 그렇다면 안드로이드 4.3 및 이전 버전을 탑재한 수백만 명의 안드로이드 스마트폰 사용자를 보호하기 위해 이 중요한 취약점에 대한 패치를 누가 제공할 것인지, 이는 누구의 추측일 뿐입니다.