안드로이드 기기의 절반 이상이 가짜 유사 앱을 통한 원격 제어 버그에 취약

이번 달은 구글과 특히 안드로이드 보안 팀에게 좋지 않은 달인 것 같습니다. 이 달이 시작된 이후로 안드로이드 OS에서 주요 취약점이 보고되었습니다. 처음에는 멀티미디어 문자를 보내기만 해도 해커가 스마트폰을 충돌시킬 수 있는 Stagefright 취약점이 있었습니다. 그 다음에는 Stagefright의 확장인 Silent Attack 취약점이 등장하여 해커가 소유자의 동의나 지식 없이 안드로이드 스마트폰에 원격으로 접근할 수 있게 되었습니다.

이제 IBM의 X-Force 애플리케이션 보안 연구 팀이 안드로이드 스마트폰과 태블릿에서 또 다른 중요한 취약점을 발견했습니다. 이 결함은 안드로이드 OS 버전 4.3 젤리빈부터 안드로이드 5.1 롤리팝 및 최신 안드로이드 M 프리뷰 1 버전까지 영향을 미치며, 해커가 목표 장치를 원격으로 제어할 수 있게 합니다.

이 결함은 젤리빈 이상에서 실행되는 모든 장치에 영향을 미치기 때문에, 전 세계에서 활성화된 스마트폰의 거의 절반이 이 버그의 영향을 받고 있습니다. 이 취약점은 안드로이드 직렬화 취약점으로 명명되었으며 CVE-2015-3825가 부여되었습니다.

안드로이드 직렬화 취약점은 권한이 없는 악성 앱이 원격 코드 실행을 통해 장치의 전체 제어를 얻을 수 있게 합니다. 이는 해커가 신뢰할 수 있는 합법적인 애플리케이션을 유사한 ‘슈퍼 앱’으로 교체하여 사용자가 개인 정보를 입력하도록 속일 수 있음을 의미합니다.

IBM의 X-Force 애플리케이션 보안 연구 팀의 Peles는 블로그 게시물에서 이 결함이 아직 실제로 악용되지 않았지만 “올바른 집중과 도구를 사용하면 악성 앱이 가장 보안에 민감한 사용자조차 우회할 수 있는 능력이 있다”고 주장했습니다.

“우리가 만든 PoC 익스플로잇은 매우 권한이 높은 system_server 프로세스를 공격합니다. system_server를 악용하면 시스템 사용자로의 권한 상승이 가능해지며, 이는 공격자가 많은 피해를 일으킬 수 있게 합니다. 예를 들어, 공격자는 피해자의 장치에서 대상 앱의 안드로이드 애플리케이션 패키지 (APK)를 교체하여 어떤 애플리케이션이든 장악할 수 있습니다. 이는 공격자가 피해자를 대신하여 행동을 수행할 수 있게 합니다. 또한, 우리는 안드로이드 키체인 앱을 악용하여 장치에 설치된 모든 애플리케이션에서 데이터를 추출하기 위해 셸 명령을 실행할 수 있었습니다. 우리는 SELinux 정책을 변경할 수 있었고, 일부 장치에서는 악성 커널 모듈을 로드할 수도 있었습니다.”

악성 코드가 실행되면 실제 앱을 가짜 앱으로 교체하여 공격자가 앱에서 민감한 정보를 훔치거나 설득력 있는 피싱 공격을 수행할 수 있게 합니다.

Peles는 그의 팀이 여러 서드파티 안드로이드 SDK에서도 취약점을 발견하여 임의 코드 실행을 가능하게 하여 공격자가 영향을 받은 앱에서 민감한 정보를 훔칠 수 있게 한다고 주장했습니다.

“발견된 취약점은 공격자가 임의 앱의 메모리 공간에서 객체 역직렬화 중 포인터 값을 제어할 수 있는 능력의 결과로, 이는 런타임의 가비지 수집기 (GC)에 의해 호출되는 네이티브 앱 코드에 의해 사용됩니다.”라고 그는 덧붙였습니다. 개발자들은 안드로이드 플랫폼과 SDK 내의 클래스를 이용합니다. 이러한 클래스는 앱에 기능을 제공합니다 – 예를 들어, 네트워크에 접근하거나 전화 카메라에 접근하는 것입니다.” “우리가 발견한 취약점은 앱이나 서비스 간의 통신 채널을 통해 악성 코드가 삽입될 수 있습니다. 정보가 분해되고 다시 조립되는 동안, 악성 코드가 이 스트림에 삽입되어 다른 쪽에서 취약점을 악용하고 장치를 장악하게 됩니다.”

X-Force 연구 팀은 구글에 통보하였으며, 구글은 이미 이 결함에 대한 패치를 출시했습니다. X-Force 연구에 대한 자세한 내용은 여기에서 확인할 수 있습니다.