상세 컨텐츠
본문
공격자가 안드로이드 기기의 루트권한을 획득할 수 있는 Certifi-Gate 안드로이드 취약점 발견!
Certifi-Gate" Android Vulnerability Lets Hackers Take Complete Control of Your Device
얼마 전 Stagefright 취약점이 발견된 가운데, 또 다른 안드로이드 보안 취약점인 "Certifi-Gate" 가 발견되었습니다.
대부분의 안드로이드 기기 제조사들은 고객들이 문제가 생겼을 때 쉽게 해결해 주기 위하여 TeamViewer와 같은 "Remote Supoort Tool(mRST)" 플러그인을 선탑재 하여 출시합니다. 하지만 이 mRTS 플러그인에는 Certifi-Gate 보안 취약점이 존재하며, 이 취약점을 이용하면 기기가 루팅되어 있지 않다면 획득할 수 없는 높은 레벨의 접근 권한을 악성앱이 얻을 수 있게 됩니다.
원격 지원 툴은 보통 기기가 루팅이 되어 있지 않더라도 루트 레벨의 접근권한을 가지고 있으며, 휴대폰에 설치된 모든 앱들은 Certifi-Gate 취약점을 악용하면 아래와 같은 루트 레벨의 권한을 얻을 수 있는 것입니다.
스크린 스크랩핑 키로깅 개인정보 유출 악성 앱 설치 |
현재까지 Certifi-Gate 취약점에 영향을 받는 안드로이드 기기는 수십억대로 밝혀졌으며, 이 플러그인은 코어 시스템의 일부이기 때문에 사용자들이 임의로 언인스톨을 할 수 없는 것으로 확인되었습니다.
최신 버전의 안드로이드(롤리팝)을 사용하는 안드로이드 스마트폰 및 태블릿 사용자들도 해당 취약점의 영향을 받습니다.
※ 시연영상
https://www.youtube.com/watch?v=4b59eBx9lts
https://www.youtube.com/watch?v=nONN-llfEMQ
참고:
http://thehackernews.com/2015/08/certifi-gate-android-vulnerability.html
'국내외 보안동향' 카테고리의 다른 글
| [해외보안동향] 불완전한 Stagefright 보안 패치, MMS 공격에 아직도 취약해 (0) | 2015.08.18 |
|---|---|
| [해외보안동향] 55%의 유저에 영향을 미치는, 또 다른 안드로이드의 취약점 Serialization 발견 (0) | 2015.08.13 |
| [해외보안동향] 버그헌터(Bug Hunter)에게 최대 2만달러의 보상, LINE이 취약성 대책에 새로운 방법 도입 (0) | 2015.08.07 |
| [해외보안동향] 패스워드 없이 루트 접근 허용하는 Mac OS 제로데이 버그 (0) | 2015.08.06 |
| [해외보안동향] MMS가 Stagefright의 유일한 공격 벡터가 아니었다 (0) | 2015.08.03 |
댓글 영역