안드로이드 6가지 신규 취약점

안드로이드 패키지 관리 서비스의 6가지 다른 Pileup 취약점 발견

악의적인 소스 애플리케이션의 접근 허용하면 해당 앱 권한 상승

안드로이드 기기에서 특정 악성코드에 의해 공격당할 가능성 높아

[보안뉴스=BLACKGUEST] 미국 인디애나 대학과 마이크로소프트 보안 전문가들이 합동으로 발표한 논문에 따르면 구글의 안드로이드 모바일 플랫폼 상에서 6가지 신규 취약점이 발견됐다고 밝혔다. 더욱이 발견된 취약점은 모든 안드로이드 기기에서 특정 악성코드에 의해 공격당할 가능성이 현저히 높은 것으로 전해졌다.

이는 안드로이드 시스템상의 ‘Pileup’ 취약점으로 ‘Pileup’는 업데이트부터 권한상승까지의 약어이다. 우선 안드로이드 시스템을 업그레이드한 후 악의적인 소스가 포함된 애플리케이션 접근을 허용하게 되면 해당 앱의 권한 상승까지 이어진다. 그러나 대부분의 사용자는 이를 전혀 눈치채지 못한다는 것.

한 연구원에 따르면 “구글은 몇 개월마다 안드로이드 운영체제 업그레이드를 하는데, 이 때 시스템내 새로운 파일 수 만개가 추가되거나, 혹은 일부 파일들이 새롭게 갱신된다”며 “새로운 앱 설치 시에도 항상 샌드박스와 시스템 권한 내에서의 엄격한 설정이 이뤄지는데, 현재는 애플리케이션과 사용자 데이터 간의 구조가 깨졌으며, 이러한 복잡한 모바일 업데이트 로직은 안드로이드 시스템의 몇 가지 결함으로 이어졌다”고 말했다.

연구원들의 발표에 따르면 이미 안드로이드 패키지(AndroidPackage)관 리 서비스(PMS) 상의 6가지 다른 Pileup 취약점을 발견했으며, 이러한 취약점은 모든 버전의 안드로이드 개발 소스에서 존재한다는 것. 이는 서로 다른 제조업체 및 운영업체가 다른 3500가지 버전의 안드로이드 폰에 영향을 미치고 있다는 얘기다.

취약점과 관련해 연구원들은 “전 세계 10억여 개에 달하는 안드로이드 기기가 Pileup 취약점 공격에 노출되어 있음을 의미한다”며 “이미 구글에 모든 취약점을 보고하고, 그 중 한 가지 취약점은 패치를 완료했다”고 밝혔다.