삼성 휴대폰의 제로데이 취약점을 악용한 감시 공급업체

구글의 프로젝트 제로 팀은 상업적인 감시 공급업체가 최신 삼성 스마트폰 모델에서 세 가지 제로데이 보안 취약점을 악용하여 사람들을 감시하고 사용자 데이터를 훔치고 있다고 밝혔습니다.

구글의 위협 분석 그룹(TAG)이 공개한 세 가지 삼성 휴대폰 취약점은 CVE-2021-25337, CVE-2021-25369, CVE-2021-25370입니다.

구글이 2020년대 후반에 악용 샘플을 발견했을 때, 즉시 삼성에 이 취약점을 보고했으며, 이후 삼성은 2021년 3월 릴리스에서 모두 패치했습니다.

또한, 삼성 기기의 맞춤형 소프트웨어에서 발견된 이 취약점들은 모두 함께 악용 체인의 일부로 사용되어 안드로이드를 실행하는 삼성 휴대폰을 목표로 했습니다.

체인된 취약점은 공격자가 루트 사용자로서 커널 읽기 및 쓰기 권한을 얻을 수 있게 하여 결국 장치의 개인 데이터를 노출시킬 수 있습니다.

또한, 이 악용 체인은 Exynos SOC를 실행하는 커널 4.14.113을 실행하는 삼성 휴대폰을 목표로 했습니다. 구글에 따르면, 2020년대 후반에 영향을 받은 모델은 삼성의 갤럭시 S10, 갤럭시 A50, 갤럭시 A51이며 커널 4.14.113을 실행하고 있었습니다.

Exynos SOC가 장착된 삼성 휴대폰은 주로 유럽과 아프리카에서 판매되며, 감시의 대상이 있었던 곳으로 보입니다. 이 악용 샘플은 Exynos 삼성 휴대폰에 특정한 Mali GPU 드라이버와 DPU 드라이버 모두에 의존합니다.

구글의 TAG 팀이 발견한 세 가지 제로데이 취약점 문제는 다음과 같습니다:

• CVE-2021-25337 – 보호되지 않은 클립보드 콘텐츠 제공자를 통한 임의 파일 읽기/쓰기 취약점: 삼성 모바일 장치의 클립보드 서비스에서 부적절한 접근 제어로 인해 신뢰할 수 없는 애플리케이션이 특정 로컬 파일을 읽거나 쓸 수 있습니다.

• CVE-2021-25369 – sec_log에서의 잠재적 커널 정보 노출: sec_log 파일의 부적절한 접근 제어 취약점이 민감한 커널 정보를 사용자 공간에 노출시킵니다.

• CVE-2021-25370 – 디스플레이 처리 장치(DPU) 드라이버의 메모리 손상: dpu 드라이버에서 파일 설명자를 처리하는 잘못된 구현으로 인해 메모리 손상이 발생하여 커널 패닉을 초래합니다.

이 결함은 악의적인 안드로이드 앱에 의해 악용된 것으로 보이며, 아마도 사이드로드되어 사용자가 구글 플레이 스토어 외부에서 설치하도록 속였을 것입니다. 이 악의적인 앱은 공격자가 앱 샌드박스를 탈출하고 장치 운영 체제의 나머지 부분에 접근할 수 있게 했습니다. 그러나 최종 페이로드가 실제로 무엇이었는지는 아직 알려지지 않았습니다.

“이 체인의 첫 번째 취약점인 임의 파일 읽기 및 쓰기는 이 체인의 기초로, 네 번 사용되었으며 각 단계에서 최소 한 번 사용되었습니다.”라고 구글 프로젝트 제로 보안 연구원인 매디 스톤이 위협을 설명하는 블로그 게시물에서 썼습니다.

“안드로이드 장치의 자바 구성 요소는 그러한 특권 수준에서 실행됨에도 불구하고 보안 연구자들에게 가장 인기 있는 목표가 되는 경향이 없습니다.”

스톤은 또한 “이 체인의 세 가지 취약점 모두 제조업체의 맞춤형 구성 요소에 있었으며 AOSP 플랫폼이나 리눅스 커널에는 없었습니다. 또한 3개의 취약점 중 2개는 메모리 안전성보다 논리 및 설계 취약점이라는 점도 흥미롭습니다.”라고 덧붙였습니다.

위의 취약점들은 상업적인 감시 공급업체에 의해 체인되어 삼성 휴대폰을 손상시켰습니다.

구글은 감시 공급업체의 이름을 공개하지 않았지만, 이 기술 대기업은 이탈리아와 카자흐스탄에서 애플과 안드로이드 사용자를 목표로 한 다른 캠페인과의 유사성을 강조했으며, 이는 이탈리아 회사 RCS Lab과 연결되어 있습니다.

스톤은 그 당시 삼성에서 발표한 권고 사항이 취약점이 적극적으로 악용되고 있다는 언급이 없었다고 지적했지만, 이후 삼성은 애플과 구글의 뒤를 따라 취약점이 적극적으로 악용될 때 이를 공개하기로 약속했습니다. 이들은 보안 업데이트에서 공격을 받고 있는 취약점을 공개합니다.

“악용되고 있는 취약점에 대한 레이블을 붙이는 것은 목표 사용자는 물론 보안 산업에도 중요합니다. 악용되고 있는 제로데이가 투명하게 공개되지 않으면, 우리는 패치 분석 및 변형 분석을 통해 사용자를 추가로 보호하기 위해 필요한 정보를 사용할 수 없습니다.”라고 블로그 게시물은 결론지었습니다.

“이 악용 체인에 대한 분석은 공격자들이 안드로이드 장치를 목표로 하는 방법에 대한 새로운 중요한 통찰력을 제공했습니다. 이는 제조업체 특정 구성 요소에 대한 추가 연구의 필요성을 강조합니다. 우리는 더 많은 변형 분석을 수행해야 할 곳을 보여줍니다.