포스팅 내용

국내외 보안동향

모든 OnePlus 기기들에서 패치되지 않은 4개 결점 발견, 원격 공격에 취약

모든 OnePlus 기기들에서 패치되지 않은 4개 결점 발견, 원격 공격에 취약

All OnePlus Devices Vulnerable to Remote Attacks Due to 4 Unpatched Flaws


최근 한 보안연구원이 OnePlus 기기에 영항을 미치는 취약점을 발견하였습니다. 

이번 취약점은  OxygenOS 4.1.3 및 이전 버전(국제 사용자), HydrogenOS 3.0 및 이전 버전(중국 사용자)을 사용하는 모든 One, X, 2, 3, 3T를 포함한 OnePlus 기기들이 영향을 받는 것으로 확인되었습니다. 


취약점들 중 하나는 OnePlus 기기 사용자들의 중간자 공격을 허용합니다. 이후 원격 공격자가 기기의 OS를 구버전으로 다운그레이드시켜 이미 패치된 취약점들을 악용해 공격 범위를 넓힐 수 있게 됩니다. 


더욱 심각한 점은, 다른 두 개의 취약점 역시 중간자 공격을 허용하여  OxygenOS를 HydrogenOS(또는 그 반대)로 변경이 가능하다는 것입니다. 또한 해당 OS를 악성앱이 잔뜩 설치된 다른 악성 ROM으로도 바꿔치기 할 수 있습니다. 


이번 취약점들은 지난 1월, OnePlus 제조회사에 제보되었지만, 90일 내에 패치를 공개하지 않았습니다. 따라서 14일 후에도 이를 패치하지 않을 경우, 취약점의 세부 사항이 외부에 공개됩니다. 



취약점 1 :  HTTP를 통한 OTA 업데이트 (CVE-2016-10370)


OnePlus가 서명된 OTA(over-the-air) 업데이트를 TLS가 아닌 HTTP로 전달해, 원격의 공격자들이 중간자 공격을 하도록 허용합니다. OTA 업데이트들이 디지털 서명을 이용해 서명되었으므로, 이 버그만으로는 영향을 받는 기기에 악성 업데이트를 적용할 수는 없습니다. 하지만 아래에 제보 된 또 다른 3개의 취약점들과 결합하여 악용할 경우 공격자가 디지털 서명 메커니즘도 깨트릴 수 있게 됩니다.



취약점 2 :  OnePlus OTA 다운그레이드 공격 (CVE-2017-5948)


이 취약점은 원격의 공격자가 타겟 OnePlus 기기의 OS를 취약점을 포함하고 있을 수 있는 구버전으로 다운그레이드하도록 허용합니다. 모든 서로 다른 ROM과 제품들의 OnePlus OTA는 동일한 디지털 키를 사용하기 때문에, 기기는 부트로더가 잠겨있는 경우에도 모든 OTA 이미지를 수락 후 설치할 수 있습니다.


안드로이드 기기들은 대부분 사용자들이 OS를 다운그레이드 하지 못하도록 하는 논리 코드를 포함하고 있지만, OnePlus는 이마저도 가지고 있지 않습니다. 이는 즉 설치 된 OS가 주어진 OTA 이미지와 동일한지, 낮은지 조차 확인하지 않는다는 것입니다. 


영향받는 버전 : OnePlus 3T, 3, 2, X, One



취약점 3 : OxygenOS/HydrogenOS 크로스오버 공격 (CVE-2017-8850)


이 공격은 두 가지 ROM이 동일한 OTA 인증 키를 사용하기 때문에 가능합니다.


영향받는 버전 : OnePlus 3T, 3, 2, X, One



취약점 4 : OnePlus OTA One/X 크로스오버 공격 (CVE-2017-8851)


이 취약점은 위 2개의 취약점과 실질적으로 동일하지만, 부트로더가 잠겨있음에도 중간자 위치의 공격자가 OnePlus X 용으로 설계된 OS를 OnePlus One용으로 설계된 OS로 바꿔치기 할 수 있다는 것이 다릅니다.


영향받는 기기 : OnePlus X, One


이는 두 장비 모두 동일한 OTA 인증 키를 사용하고 동일한 ro.build.product 시스템 속성을 사용하기 때문입니다.







출처 :

http://thehackernews.com/2017/05/oneplus-mobile-vulnerabilities.html

https://github.com/alephsecurity/research/tree/master/OnePlusOTA



저작자 표시
신고
티스토리 방명록 작성
name password homepage