안드로이드 또 보안 취약점 발견…악성앱이 '슈퍼앱'으로

아무 권한 없는 악성 앱이 슈퍼앱으로 권한 상승
시스템 서버를 해킹해 강력한 접근 권한 가져

안드로이드

[아시아경제 한진주 기자] 구글 안드로이드 기기의 55% 이상이 영향을 받을 수 있는 보안 취약점이 발견됐다.

16일 IBM 등 보안업계에 따르면 안드로이드 4.3 이상 버전에서 영향을 미치는 권한 상승 취약점 '시리얼라이제이션(Serialization)'이 발견됐다. 해킹된 기기는 침입자에게 도청당하거나 악성코드가 설치될 수 있다.

시리얼라이제이션은 아무 권한이 없는 악성 앱이 '수퍼 앱' 권한을 가져 공격자가 스마트폰을 제멋대로 제어할 수 있는 보안 취약점이다. 해당 취약점은 CVE 2015-3824로 등록돼있다.

해당 취약점은 안드로이드의 플랫폼인 OpenSSLX509Certificate에 존재한다. 안드로이드 앱이 시스템 서버(system_server) 프로세스를 해킹해서 강력한 시스템 접근 권한을 얻을 수 있다.

사용자가 이 악성 앱을 실행하는 순간 추가로 코드를 다운로드해서 원래 있던 앱에 기록이 덧씌워져 상승된 권한을 갖게 된다. 예를 들면 암호화된 로그인 정보를 훔치기 위해 정식 페이스북을 악성앱으로 바꿔치기 할 수도 있다.

이 취약점은 안드로이드 4.3 이상 모든 버전에 영향을 미치며, 가장 최신버전인 안드로이드 M도 마찬가지다.

한진주 기자 truepearl@asiae.co.kr