2010년 11월 6일 토요일

웹 기반의 안드로이드 공격 코드 공개...주의!

웹 기반의 안드로이드 공격이 가능한 취약점이 공개되었다. 웹 환경에서 많이 발생하는 형태의
요즈음 공격방식과 같이 말이다. 몇일전에도 IE 취약점과 관련하여 0-day 취약점이 공개되어
주의가 요구 되고 있다.

최근 알려진 안드로이드 취약점은 WebKit 의 취약점을 이용한 것으로, 안드로이드 단말기에서
악의적 코드가 삽입되어 있는 사이트에 방문하였을 경우 임의의 코드가 실행될 수 있는 것이다.
이번 취약점은 CVE-2010-1807 로 사파리에서 발견된 버그인데, 그대로 안드로이드에서도 재현이 된다는 것이다. floating-point 데이터를 제대로 검증하지 않아 발생되는 것으로, 조작된 웹 페이지를 통해
임의의 코드 실행또는 애플리케이션 Crash 로 DoS 상태를 만들 수 있다.

<공격코드의 일부>  
for (i = 0; i <= 1000; i++)
        {
                if (i>999)
        {
        sploit(-parseFloat("NAN(ffffe00572c60)"));
        }
        document.write("The targets!! " + target[i]);
        document.write("<br />");
....(생략)

관련 취약점을 이용한 공격코드도 이미 Public 하게 공개되어 있어 주의가 요구된다.
안드로이드 2.2 버전 이상에서는 영향을 받지 않는다. 구글에 따르면 안드로이드폰 36.2%는 2.2 로 운영된다고 한다.

시간이 되는 대로 나의 안드로이드 단말기에서도 테스트 해 볼 예정이다.

어찌되었든 중요한 것은 모바일 단말기들에 대한 보안 위협이 점차 커지고 있다는 것이다. 특히나 이와 같이
조작된 웹 페이지를 방문하는 것만으로도 영향을 받을 수 있다는 것은 지금 현재의 컴퓨터에서 일어나는
보안 위협이 많은 부분 모바일에서도 나타날 수 있다는 뜻이 된다. 물론, 제한된 권한으로 완벽한 접근에는 한계가 있지만.. 루팅이 된 단말기라면 얘기는 달라진다. 또한 루트를 얻을 수 있는 취약점등을 이용해 원격에서도
가능해진다면 이것은 말 하지 않아도 추측이 가능할 것이다.


댓글 없음:

댓글 쓰기