안드로이드 보안 취약점 '끝판왕' 등장

하도 많아서 더이상 나올 취약점이 없을것만 같던 안드로이드에 또 다시 새로운 유형의 치명적 취약점이 발견됐습니다. 그것도 안드로이드 보안 샌드박스를 완전히 속일 수 있는 매우 치명적인 것입니다 30일 미국 지디넷은 포안회사 블루박스 시큐리티에 올라온 자료를 인용해 다음과 같이 보도했습니다. 해당 내용에 따르면 이 취약점은 이클레어에서부터 등장하기 시작한 것으로 4.3 젤리빈까지 적용되는것이라고 하네요. 블루박스 블로그에 따르면 이 취약점을 이용하면 어도비 시스템이나 구글월렛으로 위장해 보안샌드박스를 우회할수 있다고 합니다.  이 취약점은 '구글 버그 13678484'로 기록되며 구글은 올해 4월에서야 정식 보안패치를 내놨습니다.

▲ 안드로이드 4.3 젤리빈 버전까지 적용될 수 있는 `페이크ID`라는 취약점이 공개됐다. 블루박스는 이 취약점의 이름을 'Fake ID'로 명명했습니다. 지난 2010년 릴리즈 된 안드로이드 2.1(에클레어) 이후부터 지난 4월 공개한 패치를 적용하지 않은 모든 스마트폰이 영향을 받을 수 있다고 블루박스측은 설명합니다. 이 취약점은 안드로이드 애플리케이션 인증서보기 구조를 바탕으로 하고 있습니다 안드로이드 앱은 특정 서명 권한을 부여하는 경우가 있지만 이것은 2.1버전 이상에서는 패키지 설치 프로그램에서 인증서 체인 합법 여부를 확인하지 않습니다. 다시 말해 어도비 인증서를 위장한 악성 디지털 ID 인증서를 사용한다면 샌드박스를 우회하게 되는 것입니다. 블루박스 시큐리티는 내달 블랙햇 USA 2014에서 이 취약점에 대하 발표할 예정입니다.