상세 컨텐츠

본문 제목

NFC Beaming 기능을 통해 안드로이드에 악성코드를 설치하도록 허용하는 CVE-2019-2114 결함 발견

국내외 보안동향

by 알약(Alyac) 2019. 11. 4. 09:17

본문

CVE-2019-2114 flaw allows hackers to plant malware on Android devices via NFC beaming


구글이 안드로이드 8 (Oreo) 및 이후 버전에 영향을 미치는 취약점을 수정하기 위한 패치를 발행했습니다. 이 취약점은 CVE-2019-2114로 등록되었으며 NFC Beaming을 통해 근처 기기를 감염시키는데 악용될 수 있습니다.


Android Beam 기능은 안드로이드 NFC 프레임워크에서 사용이 가능하며, 사용자들이 기기간에 사이즈가 큰 파일을 전송하는 데 사용할 수 있었습니다. 이 기능은 간단한 API를 구현하여 사용자들이 기기를 터치하는 것 만으로 전송 프로세스를 시작할 수 있도록 합니다. Android Beam은 한 기기에서 다른 기기로 파일을 자동으로 복사하고 과정이 끝나면 사용자에게 알려줍니다.


NFC Beaming을 통해 APK 파일을 전송할 경우, 이 파일은 디스크에 저장되며 NFC 서비스에 출처를 알 수 없는 앱을 설치할 권한을 부여할 것인지 묻는 알림이 표시됩니다.


올해 초, 보안 전문가인 Y. Shafranovich는 안드로이드 8 환경에서 NFC Beaming을 통해 APK 파일을 통해 APK 파일을 보낼 경우 사용자에게 어떠한 경고도 표시하지 않는다는 것을 발견했습니다. 이 연구원은 알림 기능으로 인해 터치 한번 만으로 사용자가 앱을 설치하도록 허용한다는 사실을 알아냈습니다.


이는 특정 앱이 다른 앱을 최신 버전의 안드로이드 OS에 설치하도록 허용하기 때문에 발생하며, Android Beam은 공식 플레이스토어 앱과 신뢰 수준이 동일하기 때문에 출처를 알 수 없는 어떤 앱도 설치하도록 허용할 수 있게 됩니다.


당연하게도 이는 원하지 않던 행동이었기 때문에 구글은 2019년 10월 안드로이드 패치를 통해 이를 수정했습니다. 이 패치는 OS 화이트리스트의 신뢰할 수 있는 출처 목록에서 Android Beam 서비스를 삭제합니다.


전문가들은 NFC와 Android Beam 서비스를 모두 활성화해 둔 수많은 안드로이드 기기가 해킹될 수 있으며, 근처에 있는 공격자가 취약한 기기에 악성코드를 심기 위해 CVE-2019-2114를 악용할 수 있다고 밝혔습니다.


“안드로이드 8(Oreo)에서는 사용자가 앱 별로 “출처를 알 수 없는 앱”권한을 부여할지 여부를 선택할 수 있는 새로운 기능이 도입되었습니다. 그러나 구글이 서명한 모든 시스템 애플리케이션은 자동으로 화이트리스팅되며 사용자에게 권한을 묻지 않는 것으로 나타났습니다. 표준 안드로이드 OS 기기에서 이 NFC 서비스는 다른 애플리케이션을 설치할 권한을 가진 시스템 애플리케이션이었습니다.”


“이는 NFC와 Android Beam 기능이 동시에 활성화된 안드로이드 기기에 악성 전화 기기나 악성 NFC 지불 터미널을 터치하면 “출처를 알 수 없는 앱 설치” 프롬프트를 우회하여 모든 악성코드를 설치할 수 있다는 것을 의미합니다.”


NFC 기능은 새로운 안드로이드 기기에서 기본적으로 활성화되어 있지만, 공격을 위해서는 4cm 이하의 거리에 있어야 하기 때문에 공격이 쉽지만은 않을 것입니다.




출처 :

https://securityaffairs.co/wordpress/93298/hacking/cve-2019-2114-hacking-nfc-beaming.html

https://wwws.nightwatchcybersecurity.com/2019/10/24/nfc-beaming-bypasses-security-controls-in-android-cve-2019-2114/

관련글 더보기

댓글 영역