삼성 갤럭시 제로데이 취약점 악용한 보안 업체 발견
상태바
삼성 갤럭시 제로데이 취약점 악용한 보안 업체 발견
  • 곽중희 기자
  • 승인 2022.11.10 10:36
  • 댓글 0
이 기사를 공유합니다

갤럭시 S10, A50, A51 모델에 영향 미쳐, 2021년 3월 패치 완료

구글의 자체 보안팀 프로젝트 제로(Google Project Zero) 연구팀이 삼성 갤럭시의 제로데이 취약점을 악용하는 보안 업체를 발견했다.

프로젝트 제로 연구팀은 CVE-2021-25337, CVE-2021-25369, CVE-2021-25370로 추적되는 3개의 갤럭시 취약점을 공개하며, 한 보안 업체가 이를 악용하고 있다고 말했다.

연구팀이 발견한 3개의 제로데이 취약점은 다음과 같다.

• CVE-2021-25337: SMR 2021년 3월 릴리스1 이전의 삼성 갤럭시 장치에서 클립보드 서비스의 부적절한 액세스 제어로 인해 신뢰할 수 없는 응용 프로그램이 특정 로컬 파일을 읽거나 쓸 수 있다.

• CVE-2021-25369: SMR MAR-2021 릴리스1 이전의 sec_log 파일에 있는 부적절한 액세스 제어 취약성으로 인해 민감한 커널 정보가 사용자들에게 노출된다.

• CVE-2021-25370: SMR Mar-2021 릴리스1 이전의 DPU 드라이버에서 잘못된 구현 처리 파일 설명자는 커널 오류로 이어지는 메모리 손상을 초래한다.

연구팀은 해당 보안 업체가 스파이웨어에 이 세 가지 취약점에 대한 익스플로잇을 포함해 갤럭시 기기를 손상시켰다고 지적했다.

연구팀은 "이 in-the-wild 익스플로잇은 과거에 있었던 안드로이드 익스플로잇과 다른 형태의 공격이다. 세 가지 취약점은 모두 AOSP 플랫폼이나 리눅스 커널이 아니라 제조 기업의 맞춤형 구성 요소에 있었다. 특히 취약점 3개 중 2개가 메모리 안전성이 아니라 설계와 관련된 취약점이라는 점이 주목할 만하다”라고 설명했다.

이어 “해당 업체는 테스트 단계에 있는 갤럭시에 대한 일부 익스플로잇 체인만 얻었다. 감염 체인은 자바 구성 요소의 취약점을 포함한 3개의 취약점이 모두 갤럭시의 구성 요소에 있는 3개의 취약점 체인이기 때문에 추가 분석이 필요하다"라고 덧붙였다.

또한 연구팀은 익스플로잇 샘플이 엑시노스(Exynos) SOC와 함께 커널 4.14.113을 실행하는 삼성 갤럭시 모델을 대상으로 한다고 설명했다. 익스플로잇은 Mali GPU 드라이버와 엑시노스 삼성 갤럭시의 특정한 DPU 드라이버에 영향을 미친다. 삼성 갤럭시 모델 중에는 2020년 말에 커널 4.14.113을 실행한 S10, A50, A51이 포함된다. 

한편, 구글은 2020년 말 발견 직후 삼성에 취약점을 전달했고 삼성은 2021년 3월 취약점을 해결했다.

구글은 감시 기업의 이름을 밝히지 않았으며, 안드로이드 사용자를 대상으로 하는 다른 공격과의 유사점만 강조했다.

연구팀은 “취약점을 악용하는 경우 레이블은 사용자와 보안 업체 등 모두에게 중요하다. 레이블이 공개되지 않으면 사용자를 보호하기 위한 정보를 사용할 수 없게 된다”라고 말했다.

이어 “이번 공격을 분석한 결과, 공격자가 안드로이드 기기를 공격하는 새로운 방식을 얻을 수 있었다. 따라서 앞으로 제조업체별 구성 요소에 대해 더 많은 연구가 필요해 보인다”라고 덧붙였다.

 

*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.