안드로이드 제로데이 취약점은 이스라엘 NSO 그룹(정부나 개인에게 제로데이 익스플로잇을 판매하는 것으로 유명한 그룹)이 타켓의 안드로이드 디바이스를 제어하기위해 악용된 것으로 발견되었다. Project Zero 연구로 의해 발견되었고, CVE-2019-2215라고 불리는 매우 심각한 보안 취약점에 대한 세부 내용과 개념 증명 악용은 안드로이드 보안 팀에게 그것을 보고한 7일 뒤 공개적으로 오늘 만들어 졌다.

 

제로데이는 안드로이드 커널의 binder driver에서 use-after-free 취약점으로  로컬 권한을 가진 공격자 또는 앱이 root 권한을 획득할 수 있고 잠재적으로 장치를 원격 제어가 가능하다.

 

 

 

취약한 안드로이드 장치

 

이 취약점은 2017 년 12 월에 릴리스 된 4.14 LTS Linux 커널에 포함되었지만 AOSP Android 커널 버전 3.18, 4.4 및 4.9에만 포함 된 패치 인 작년 4 월 이전에 릴리스 된 Android 커널 버전에 존재한다.

 

그러므로, 패치되지 않은 커널로 팔리고 제조된 대부분 안드로이드 디바이스는 안드로이드 최신 업데이트 후에도 이 취약점에 여전히 취약하다. 아래는 이 커널을 가지고 있는 스마트폰 리스트이다.

 

Pixel 1

Pixel 1 XL

Pixel 2

Pixel 2 XL

Huawei P20

Xiaomi Redmi 5A

Xiaomi Redmi Note 5

Xiaomi A1

Oppo A3

Moto Z3

Oreo LG phones

Samsung S7

Samsung S8

Samsung S9

 

최신 안드로이드 커널로 동작중인 Pixel 3, 3 XL, 과 3a 장치는 이 문제에 취약하지 않다.

 

안드로이드 취약점은 원격으로 공격이 가능하다.

연구자들에 의하면, 이 문제는 "크롬 샌드박스 내부에서 접근할 수" 있기 때문에, 안드로이드 커널 제로데이 취약점은 크롬 렌더링 결함과 조합하여 원격으로 익스플로잇을 할 수 있다.

 

"이 버그는 로컬 권한 상승 취약점인데 이는 취약한 디바이스를 완전히 손상시키는 것을 허용한다. 익스플로잇이 웹을 통해 전달 된다면, 샌드박스를 통해 접근할 수 있으므로, 렌더러 익스플로잇과 쌍을 이루어야 한다." 라고 크로미늄 블로그에 Stone이 말했다.

 

"나는 이 버그가 어떻게 로컬에서 동작중 일때 임의의 커널 읽기/쓰기를 얻을 수 있는지 증명하기 위해 POC 익스플로잇을 게시했다. 그것은 오직 CVE-2019-2215을 익스플로잇 하기 위해 신뢰되지 않은 앱 코드 실행이 필요하다. 나는 또한 2019년 9월 보안 패치와 함께 동작중인 안드로이드 10과 Pixel 2에서 POC 스크린 샷을 게시했다.

 

 

곧 출시 될 패치

그러나 구글은 10월 안드로이드 보안 게시판에서 이 취약점에 대한 패치를 출시했고 또한 OEMs에 알렸지만, 영향을 받은 Google Pixel 1과 2 디바이스는 즉시 패치를 받지 못할 것이다.

 

"이 문제는 안드로이드에서 높은 심각성으로 평가되고 잠재적인 익스플로잇을 위해 악의적인 앱 설치가 필요하다. 웹 브라우저 같은 다른 방법은 추가적인 익스플로잇과 연속적인 방법이 필요하다." 라고 안드로이드 보안 팀이 진술했다.

 

"우리는 안드로이드 파트너들에게 알렸고, 안드로이드 커널에 패치를 했다. Pixel 3과 3a 디바이스는 취약하지 않고 Pixel1과 2 디바이스는 10월 패치때 이 문제에 대한 업데이트를 받을 수 있을 것이다."

구글의 Project Zero는 일반적으로 소프트웨어 개발자들에게 90일까지 PoC와 상세 내용을 공개적으로 알리기 전에 영향을 받을 장치의 문제를 고치라고 주지만, 활동중인 익스플로잇 같은 경우, 팀은 개인적으로 보고한 7일 뒤 공개한다.

 

비록 이 취약점은 심각하고 안드로이드 디바이스의 root 권한을 얻을 수 있지만, 유저는 이러한 익스플로잇이 타겟이된 공격 시나리오에 대부분 한계가 있기 때문에 걱정할 필요는 없다.

 

그렇지만, Google play 스토어에서도 타사 앱 스토어 및 불필요한 앱을 설치 및 다운로드를 피하는 것이 좋을 것이다.

 

 

https://thehackernews.com/2019/10/android-kernel-vulnerability.html

 

New 0-Day Flaw Affecting Most Android Phones Being Exploited in the Wild

New Android zero-day vulnerability, tracked as CVE-2019-2215, affects popular devices from Samsung, Huawei, Oppo and Xiaomi.

thehackernews.com