샤오미 스마트폰 수백만대가 원격으로 유해소프트웨어(Malware)에 감염될 수 있는 보안 취약점을 가진 것으로 파악됐다. 가능한한 빨리 운영체제(OS)를 업데이트하라는 소식이다.
미국 지디넷은 11일(현지시각) 수백만대의 샤오미 폰이 공격자에게 원격 맬웨어 설치를 허용할 수 있는 취약점을 드러냈다고 보도했다. 샤오미는 지난해 단말기 7천만대 이상을 판매한 스마트폰 신흥 강자다. 샤오미 제품에는 안드로이드오픈소스프로젝트(AOSP) 기반으로 자체 개발한 모바일운영체제 '미UI(MIUI)'가 탑재된다. [☞참조링크: Millions of Xiaomi phones at risk of remotely installed malware]
보도에 따르면 해당 취약점은 샤오미의 자체 안드로이드 운영체제에에 탑재된 분석 패키지(MIUI Analytics)에서 발견됐다. 취약점은 최근 업데이트를 통해 수정된 상태다. 보도는 취약점을 발견한 IBM 보안 연구원의 설명을 인용, 사용자들에게 가급적 빨리 자기 단말기를 업데이트해야 할 것이라고 경고하면서, 여전히 업데이트 경로가 암호화 채널을 거치진 않는다고 꼬집었다.
IBM 보안 연구원이 찾아낸 취약점은, 중간자공격을 통해 원격으로 시스템 레벨에서 코드를 실행할 수 있는 것으로, 미UI 공식 패키지에 포함된 여러 앱에서 발견됐다. 다시 말해 해당 취약점을 찾아낸 공격자는 샤오미 폰 사용자의 의지와 무관하게 해로운 안드로이드 앱 패키지에 시스템 레벨에서 실행되는 링크를 삽입할 수 있다는 얘기다. [☞참조링크: Remote Code execution in Xiaomi MIUI Analytics]
관련기사
- '2만9천원' 샤오미 미밴드2, 국내서 출시2016.07.12
- 맥북프로 닮은꼴? 샤오미 Mi 노트북 유출2016.07.12
- 여름엔 밴드?…스마트밴드 경쟁 점화2016.07.12
- 샤오미, 1년만에 브라질 사업 축소..."정부 규제 때문"2016.07.12
이런 종류의 공격은 새로운 것이 아니며 다른 플랫폼에서도 찾아볼 수 있는 유형이다. 이런 보안 취약점은 불충분한 암호화, 코드 점검 및 검증 절차에서 비롯한다. 이런 업데이트는 암호화한 TLS 연결을 통해 제공되지 않기 때문에 쉽게 변조될 수 있다. 암호화는 전달 과정에서 데이터가 누군가에게 변조되는 걸 예방하고 중간자공격을 어렵게 만들어 준다.
이처럼 단말기 제조사가 공급한 소프트웨어 때문에 운영체제가 인터넷을 통해 파일을 내려받는 과정에서 유해소프트웨어가 삽입될 위험성은 올초부터 발견됐다. 블로트웨어(bloatware)라 불리는, HP와 델 등 윈도PC의 선탑재 소프트웨어에 비슷한 취약점이 발견됐다. 수백만대 데스크톱과 노트북 컴퓨터가 인터넷에서 뭔가를 내려받을 때 유해소프트웨어가 끼어들 위험에 놓였다는 뜻이다. [☞참조링크: Millions of PCs ship with bloatware riddled with security flaws, say researchers]