안드로이드용 애플리케이션(앱)을 수정할 수 있게 하는 개발자용 ID를 악용해 정상 앱에 악성코드를 주입시켜 정보를 빼내거나 조작하는 일명 '페이크ID(FakeID)'라는 취약점이 수년째 방치됐다가 최근에야 보안조치가 이뤄졌다.
29일(현지시간) 미국 지디넷은 보안회사 블루박스 시큐리티에 올라온 자료를 인용해 이 같이 보도했다.
해당 내용에 따르면 이 취약점은 2010년 처음 공개된 안드로이드 2,1 이클레어에서부터 등장하기 시작한 것으로 안드로이드 4.3 젤리빈 버전까지 적용되는 것으로 확인됐다. '구글 버그 13678484'로 기록된다. 구글은 올해 4월에서야 정식 보안패치를 내놨다.
이 취약점은 안드로이드 앱이 갖고 있는 고유의 암호화된 ID와 앱 개발사의 개발자 ID를 매칭시켜 앱에 대한 관리자 권한을 가질 수 있다는 점을 악용했다. 안드로이드 시스템 상에서 한 개 앱에 대한 디지털서명이 이뤄지면 이 서명이 다른 정상 앱에서도 메타 데이터 API를 활용해 유효하누 서명으로 인정된다.
블루박스는 해당 취약점이 실제로 구현되는지에 대해 개념증명(POC)을 했다. 실제 테스트 결과 이 취약점을 악용하면 어도비 시스템 웹뷰 플러그인에 대한 권한을 상승시킨다. 이를 통해 다른 일반 앱들 내부에 트로이목마 악성코드를 주입시켜 해당 앱의 기능을 마음대로 조작할 수 있게 한다. 예를 들어 모바일뱅킹앱이라고 하면 앱 내에 저장된 모든 데이터를 보거나 조작할 수 있게 하는 것이다. 이 취약점은 어도비 웹뷰 플러그인 뿐만 아니라 웹뷰 내에 콤포넌트도 바꿀 수 있게 한다.
구글월렛에서 NFC 결제 관련 데이터를 빼내는 일도 가능해진다. 심지어는 안드로이드에서 제공되는 기업용 엔터프라이즈 모빌리티 매니지먼트(EMM) 플랫폼 중 하나인 '박스톤 3LM'이라는 모바일 보안앱 역시 이 취약점에 노출될 수 있는 것으로 나타났다.
이와 관련 구글 대변인은 우리는 블루박스가 해당 취약점을 찾아 알려줬다는 사실에 대해 감사한다며 서드파티 연구는 사용자들을 위해 안드로이드를 더 강하게 만든다고 말했다. 이어서 안드로이드 오픈소스 프로젝트(AOSP)를 포함한 여러 파트너들에게 빠르게 취약점에 대한 보안패치를 배포했다고 밝혔다.
관련기사
- 세계 대기업 3%만 하트블리드 완전해결2014.07.30
- 윈도XP 빈자리…윈도8 보안취약점도 속속2014.07.30
- 구글, 제로데이 위협 대응 나섰다...담당팀 결성2014.07.30
- 안드로이드폰, 공장초기화해도 정보유출 가능2014.07.30
또한 대변인은 구글 플레이 스토어 내에 올라온 정상앱들 역시 이를 통해 보호되도록 했으며, 현재까지는 구글 및 서드파티에서 제공되는 앱스토어에서 해당 취약점을 악용한 실제 공격은 확인되지 않았다고 덧붙였다.
현재 이 취약점은 안드로이드 4.4 킷캣 버전에서는 적용되지 않는 것으로 확인된 만큼 사용자들 입장에서 가장 빠른 대처법은 OS를 업그레이드 시키는 방법이다.
