[출처: 유튜브] 


6일 삼성은 자사가 개발한 안드로이드 기반 스마트폰을 위한 보안 업데이트를 공개했다. 이번에 패치된 취약점 가운데는 2014년 이후에 제조된 모든 스마트폰에 영향을 끼치는 치명적인 취약점도 포함되어 있다. 때문에 사용자의 관심이 필요할 것으로 보인다.

이번 업데이트는 그동안 구글이 발표한 안드로이드 운영체제 자체 결함에 대한 패치는 물론이고, 삼성 제품에서만 발견된 19개 취약점에 대한 패치도 포함됐다. 삼성 자체 업데이트 19개 중에는 치명적인 취약점도 2개 포함되어 있다. 하나는 보안 부트로더, 다른 하나는 큐램 라이브러리에서 발견됐다.

첫 번째 치명적 취약점은 힙 기반 버퍼 오버플로우 취약점이다. 익스플로잇에 성공할 경우 공격자들은 보안 부팅을 피해 임의의 코드를 실행할 수 있다. 삼성은 적절한 확인을 통해 버그를 해결했다고 해명했지만 그 이상의 기술적 정보를 밝히지 않았다.

두 번째 치명적 취약점은 메모리 덮어쓰기를 발생시키는 점이다. 익스플로잇에 성공할 경우 임의의 코드를 원격에서 실행할 수 있다. 큐램 내 qmg 라이브러리에서 발견된 이 취약점은 원격 해킹에 쓰이기 아주 좋다. 위 두 가지 취약점은 2014년 이후 삼성이 출시한 모든 스마트폰에서 발견됐다고 알려졌다. 그 당시 삼성이 지원하던 qmg라는 이미지 포맷을 이용하기 때문이다. qmg는 한국의 큐램소프트가 고안한 서드파티 포맷이다.

[출처: 유튜브]


qmg 취약점은 구글 보안 전문가 마테우스 주르직이 발견했다. 영상 시연에 따르면 이 취약점은 악성 멀티미디어 문자메시지(MMS)를 전송함으로써 익스플로잇이 가능하다. 사용자가 뭔가를 클릭하거나 다운로드 받지 않아도 실행되기에 위험성이 높다.  

2014년부터 qmg 포맷을 지원하기에 삼성 장비 거의 전부 이 취약점에 노출되어 있지만 최신 장비일수록 지원하는 버전이 많아 문제가 많다고 해석된다. 삼성 외 다른 안드로이드 제품에서는 이 취약점이 존재하지 않는다. 

이 외에도 삼성은 큐램 라이브러리 Jpeg 디코딩 부분에서 발견된 임의 코드 실행 취약점, 게이트키퍼 트러스트렛의 브루트포스 취약점, 브로드컴 블루투스 칩셋 일부에서 발견된 스푸핑 취약점 등을 패치했다. 다만 삼성은  취약점에 대해서도 세부 정보는 전혀 공개하지 않았다.