열린마당
2016년 7월 12일 (화)
ⓒ 지디넷코리아, 임민철 기자
BM 보안연구팀 경고…"단말기 업데이트해야"
샤오미 스마트폰 수백만대가 원격으로 유해소프트웨어(Malware)에 감염될 수 있는 보안 취약점을 가진 것으로 파악됐다. 가능한한 빨리 운영체제(OS)를 업데이트하라는 소식이다.
미국 지디넷은 11일(현지시각) 수백만대의 샤오미 폰이 공격자에게 원격 맬웨어 설치를 허용할 수 있는 취약점을 드러냈다고 보도했다. 샤오미는 지난해 단말기 7천만대 이상을 판매한 스마트폰 신흥 강자다. 샤오미 제품에는 안드로이드오픈소스프로젝트(AOSP) 기반으로 자체 개발한 모바일운영체제 '미UI(MIUI)'가 탑재된다. [☞참조링크: Millions of Xiaomi phones at risk of remotely installed malware]
보도에 따르면 해당 취약점은 샤오미의 자체 안드로이드 운영체제에에 탑재된 분석 패키지(MIUI Analytics)에서 발견됐다. 취약점은 최근 업데이트를 통해 수정된 상태다. 보도는 취약점을 발견한 IBM 보안 연구원의 설명을 인용, 사용자들에게 가급적 빨리 자기 단말기를 업데이트해야 할 것이라고 경고하면서, 여전히 업데이트 경로가 암호화 채널을 거치진 않는다고 꼬집었다.
![샤오미 스마트폰. [사진=씨넷]](http://image.zdnet.co.kr/2016/07/12/imc_BHdBEikwXLaTs1WO.jpg)
샤오미 스마트폰. [사진=씨넷]
IBM 보안 연구원이 찾아낸 취약점은, 중간자공격을 통해 원격으로 시스템 레벨에서 코드를 실행할 수 있는 것으로, 미UI 공식 패키지에 포함된 여러 앱에서 발견됐다. 다시 말해 해당 취약점을 찾아낸 공격자는 샤오미 폰 사용자의 의지와 무관하게 해로운 안드로이드 앱 패키지에 시스템 레벨에서 실행되는 링크를 삽입할 수 있다는 얘기다. [☞참조링크: Remote Code execution in Xiaomi MIUI Analytics]
이런 종류의 공격은 새로운 것이 아니며 다른 플랫폼에서도 찾아볼 수 있는 유형이다. 이런 보안 취약점은 불충분한 암호화, 코드 점검 및 검증 절차에서 비롯한다. 이런 업데이트는 암호화한 TLS 연결을 통해 제공되지 않기 때문에 쉽게 변조될 수 있다. 암호화는 전달 과정에서 데이터가 누군가에게 변조되는 걸 예방하고 중간자공격을 어렵게 만들어 준다.
이처럼 단말기 제조사가 공급한 소프트웨어 때문에 운영체제가 인터넷을 통해 파일을 내려받는 과정에서 유해소프트웨어가 삽입될 위험성은 올초부터 발견됐다. 블로트웨어(bloatware)라 불리는, HP와 델 등 윈도PC의 선탑재 소프트웨어에 비슷한 취약점이 발견됐다. 수백만대 데스크톱과 노트북 컴퓨터가 인터넷에서 뭔가를 내려받을 때 유해소프트웨어가 끼어들 위험에 놓였다는 뜻이다. [☞참조링크: Millions of PCs ship with bloatware riddled with security flaws, say researchers]
※ 본 내용은 (주)메가뉴스(http://www.zdnet.co.kr)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒ 지디넷코리아. 무단전재 및 재배포 금지
[원문출처 : http://www.zdnet.co.kr/news/news_view.asp?artice_id=20160712092457]
| 번호 | 제목 | 조회수 | 작성 |
|---|---|---|---|
| 공지 | [Open UP 활용가이드] 공개SW 활용 및 개발, 창업, 교육 "Open UP을 활용하세요" | 298529 | 2020-10-27 |
| 공지 | [Open UP 소개] 공개SW 개발·공유·활용 원스톱 지원 Open UP이 함께합니다 | 288433 | 2020-10-27 |
| 5376 | 어도비, 플래시플레이어 보안 업데이트 공개 | 3420 | 2016-07-14 |
| 5375 | 모질라 'C++ 대체 언어', 새 파이어폭스로 확산 | 2978 | 2016-07-14 |
| 5374 | 韓·우즈벡, 공개 SW 활성화 협력 | 3332 | 2016-07-14 |
| 5373 | 자율 로봇, 어린이 공격 '황당 사건' | 3370 | 2016-07-14 |
| 5372 | "샤오미 스마트폰, 원격 맬웨어 감염 위험 | 3227 | 2016-07-14 |
| 5371 | 구글, 인도서 안드로이드 개발자 200만 명 육성한다 | 3472 | 2016-07-14 |
| 5370 | '그놈부터 벗지까지' 2016년 주목할 만한 데스크톱용 리눅스 9종 | 3583 | 2016-07-14 |
| 5369 | 블로그 | 리눅스 25주년, 258가지 배포판 | 4009 | 2016-07-14 |
| 5368 | 세이퍼존, 공공기관 최초… 리눅스·맥 OS 사업 수주 | 3899 | 2016-07-14 |
| 5367 | 라즈베리파이와 아두이노로 구동되는 팜봇(FarmBot) | 3394 | 2016-07-14 |
0개 댓글