요약 : 보안 외신 해커뉴스에 의하면 인기 높은 일부 안드로이드 앱에서 파일 덮어쓰기 오류가 발견됐다고 한다. 이를 성공적으로 익스플로잇 할 경우 공격자들은 임의의 파일을 피해자의 홈 디렉토리에 심을 수 있게 되고, 이 상황을 이용해 코드 실행 및 토큰 탈취 등의 공격을 이어갈 수 있다고 한다. 심지어 해당 앱을 공격자 편에서 제어하는 것도 가능하게 될 수 있다. 현재까지 이 취약점이 발견된 앱 중 대표적인 건 WPS오피스(WPS Office)와 샤오미 파일 매니저(Xiaomi File Manager)다. 전자는 5억회 이상, 후자는 10억 회 이상 다운로드 됐다.


배경 : 해당 취약점과 관련된 정보는 지난 2월에 이미 양 개발사에 알려졌고, 후속 조치도 취해진 상황이다. 따라서 최신 버전으로 업그레이드를 한다면 위의 위험으로부터는 벗어날 수 있게 된다. 다만 업그레이드를 제 때 하지 않는 사용자가 많기 때문에 문제가 이어질 수 있다. 애플리케이션 업데이트는 사용자 편에서 빠르게 하는 편이 안전하다.

말말말 : “이번 취약점은 파일 이름과 관련되어 있습니다. 개발자들이 서버 애플리케이션에서 제공하는 파일 이름을 제대로 처리해야만 이와 같은 문제가 없어질 수 있습니다.” -구글-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>