구글이 멀티미디어메시지(MMS)를 수신받는 것 만으로 사용자 스마트폰을 악성코드에 감염시킬 수 있는 안드로이드 보안 취약점(CVE-2015-3824), 일명 '스테이지프라이트(Stagefright)'에 대한 보안업데이트를 내놨지만 또 다른 취약점이 존재한다는 지적이 나왔다.
추가적인 보안패치가 필요한 상황이다.
앞서 발견된 스테이프라이트는 안드로이폰 전화번호를 아는 것만으로도 공격이 가능하다. 이 취약점을 발견한 보안회사 짐퍼리움 소속 조슈아 드레이트 보안연구원은 최근 열린 블랙햇2015, 데프콘23 등 해킹컨퍼런스에 이 취약점은 이 취약점은 안드로이드2.2 프로요 이상 버전에서 구동되지만 안드로이드4.0 아이스크림샌드위치 이하 버전에서까지만 구동된다고 설명한 바 있다.
문제는 스테이지프라이트와 관련해 추가적인 취약점이 발견됐다는 점이다. 보안회사 엑소더스 인텔리전스는 첫 보안업데이트를 수행한 뒤에도 여전히 동영상 재생용 악성파일(.MP4)을 통해 이를 우회할 수 있는 방법을 추가로 발견했다고 밝혔다. 이 취약점은 CVE-2015-3864로 분류된다. 회사측은 지난 7일 이 내용을 구글에 보냈으나 별다른 응답을 받지 못해 관련 정보를 공개하기로 했다고 설명했다.
관련기사
- 시만텍, 문자 수신만해도 감염되는 악성코드 대응책 발표2015.08.17
- "안드로이드폰 10억대, 악성코드에 무방비 노출"2015.08.17
- 월드 랠리서 만난 현대차 vs 토요타…"여기선 빠른 제조사가 1위"2024.11.22
- "피부 컨설팅 받고 VIP라운지 즐겨요"…체험 가득 '올리브영N 성수' 가보니2024.11.21
블로그에 따르면 애론 포트노이 엑소더스 인텔리전스 부사장은 "구글이 (스테이지프라이트에 대한) 첫번째 보안업데이트에서 이러한 취약점에 대해 패치를 하지 않았다는 점이 놀랍다"고 밝혔다.
구글측은 관련 내용을 인지해 자사 넥서스4, 5, 6, 7, 9, 10 시리즈에 최신 패치를 제공하고, 넥서스 플레이어에 대해서는 내달 중 예정된 월별 정기 업데이트를 통해 문제를 해결할 것이라고 공지했다.