퀄컴 칩의 보안 결함으로 인해 수백만 대의 안드로이드 전화가 위험에 처해 있습니다

체크 포인트(Check Point)라는 사이버 보안 회사의 연구원들이 퀄컴 스냅드래곤 디지털 신호 프로세서(DSP) 칩에서 취약점을 발견하여 공격자가 안드로이드 전화에서 사진, 비디오, 통화 녹음, 위치 정보 및 기타 데이터를 얻을 수 있도록 할 수 있다고 밝혔습니다.

DSP는 충전 기능(예: “퀵 차지“ 기능), 비디오 및 HD 캡처와 같은 멀티미디어 경험, 고급 AR 기능 및 다양한 오디오 기능을 지원하도록 설계된 하드웨어와 소프트웨어를 포함하는 시스템 온 칩입니다. 거의 모든 현대 스마트폰에는 이러한 칩 중 적어도 하나가 포함되어 있습니다.

또한, 퀄컴의 스냅드래곤 칩은 구글, 삼성, LG, 샤오미, 원플러스 및 기타 장치 제조업체와 같은 안드로이드 스마트폰에서 가장 일반적으로 사용되는 칩 중 하나로, 전체 스마트폰 시장의 거의 40%를 차지합니다.

체크 포인트는 “아킬레스: 작은 칩, 큰 위험“이라는 보고서에서 DSP 칩 내부에서 400개 이상의 취약한 코드가 발견되었다고 지적했습니다. 이러한 취약점은 영향을 받는 칩이 있는 전화 사용자에게 다음과 같은 영향을 미칠 수 있습니다:

• 공격자는 사용자 상호작용 없이 전화를 완벽한 스파이 도구로 만들 수 있습니다 – 전화에서 유출될 수 있는 정보에는 사진, 비디오, 통화 녹음, 실시간 마이크 데이터, GPS 및 위치 데이터 등이 포함됩니다.

• 공격자는 모바일 전화를 지속적으로 응답하지 않도록 만들 수 있습니다 – 이 전화에 저장된 모든 정보가 영구적으로 사용할 수 없게 됩니다 – 사진, 비디오, 연락처 세부정보 등을 포함하여 – 즉, 표적 서비스 거부 공격입니다.

• 악성 소프트웨어 및 기타 악성 코드는 자신의 활동을 완전히 숨기고 제거할 수 없게 될 수 있습니다.

이러한 취약점이 초래하는 위험에도 불구하고 체크 포인트는 실제 세계에서 이러한 악용 사례를 발견하지 못했습니다.

“우리는 이러한 악용 사례가 실제로 사용되고 있는지 확인할 수 없었습니다.” 체크 포인트의 홍보 책임자인 에크람 아흐메드(Ekram Ahmed)가 TechRepublic에 말했습니다. “물론 이것이 사용되지 않았다는 것을 의미하지는 않지만, 우리의 텔레메트리에서 발견하지 못했다는 것입니다.”

취약점 발견 후 체크 포인트는 퀄컴에 발견 내용을 공개했으며, 퀄컴은 이를 인정하고 관련 장치 공급업체에 통보했습니다.

퀄컴은 취약점을 수정하고 다음 CVE를 할당했습니다: CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 및 CVE-2020-11209.

“체크 포인트에서 공개한 퀄컴 컴퓨트 DSP 취약점과 관련하여, 우리는 문제를 검증하고 OEM에 적절한 완화 조치를 제공하기 위해 열심히 작업했습니다. 현재 이 취약점이 악용되고 있다는 증거는 없습니다. 우리는 최종 사용자에게 패치가 제공될 때 장치를 업데이트하고 Google Play 스토어와 같은 신뢰할 수 있는 위치에서만 애플리케이션을 설치할 것을 권장합니다.” 퀄컴 대변인이 성명에서 말했습니다.

“퀄컴이 문제를 수정했지만, 안타깝게도 이야기가 끝난 것은 아닙니다. 수억 대의 전화가 이 보안 위험에 노출되어 있습니다. 당신은 스파이 당할 수 있습니다. 모든 데이터를 잃을 수 있습니다. 우리의 연구는 모바일 세계의 복잡한 생태계를 보여줍니다. 모든 전화에 통합된 긴 공급망으로 인해 모바일 전화에서 깊이 숨겨진 문제를 찾는 것이 간단하지 않지만, 이를 수정하는 것도 간단하지 않습니다.” 체크 포인트의 사이버 연구 책임자인 야니브 발마스(Yaniv Balmas)가 보도 자료에서 말했습니다.

퀄컴이 취약점을 수정하는 것은 첫 번째 단계일 뿐이며, 이제 모바일 공급업체가 필요한 패치를 배포해야 합니다. 그때까지 체크 포인트 연구는 모바일 공급업체가 가능한 위험을 완화할 수 있는 포괄적인 솔루션을 갖출 때까지 전체 기술 세부정보를 공개하지 않기로 결정했습니다.

“완전히 완화하는 데 몇 개월 또는 몇 년이 걸릴 것으로 예상합니다. 이러한 취약점이 발견되고 악의적인 행위자에 의해 사용된다면, 수백만 명의 모바일 전화 사용자가 매우 오랜 시간 동안 거의 보호할 방법이 없게 될 것입니다. 이제 구글, 삼성, 샤오미와 같은 공급업체가 이러한 패치를 전체 전화 라인에 통합하는 것이 중요합니다.” 발마스가 말했습니다.