안드로이드 설치 파일 변조, 정상 안드로이드 앱에 악성코드 삽입

[보안뉴스 김태형] 삼성, LG 등 스마트폰에 탑재되는 안드로이드에서 마스터키(CVE-2013-4787) 취약점이 발견되어 사용자들의 주의가 필요하다.

이 취약점을 통해 공격자는 안드로이드 설치 파일(apk)을 변조하여 디지털 서명을 무효화하지 않고도 악성코드를 정상적인 안드로이드 앱에 삽입하여 실행이 가능하다.

        

이에 낮은 안드로이드 버전의 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 최신 버전으로 업그레이드해야 한다.

영향 받는 소프트웨어는 안드로이드 1.6(Donut)부터 4.2(Jelly Bean)의 버전으로 안드로이드 1.6(Donut)부터 4.2(Jelly Bean)의 버전 사용자들은 제조사별 펌웨어 업그레이드 프로그램을 통해 최신 펌웨어로 업그레이드해야 안전하다.

삼성전자 펌웨어 업그레이드 프로그램(Samsung Kies) 다운로드는 www.samsung.com/sec/support/pcApplication/KIES에서 가능하며, LG전자 펌웨어 업그레이드 프로그램(LG Mobile Support Tool) 다운로드는 www.lgmobile.co.kr/lgmobile/front/download/retrieveDownloadMain.dev에서 가능하다.

특히 확인되지 않는 문자에 포함된 링크는 절대 클릭하지 말고 즉시 삭제해야 하며 ‘스마트폰 이용자 10대 안전수칙’에 따라 스마트폰을 사용해야 한다.

참고사이트

-http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key

-http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4787

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>