동영상까지 나온 삼성 핸드폰 쉽게 해킹하는 법

시스템 잠근 후 랜섬웨어 형태로 악용이 가능

[보안뉴스 문가용] 미국 NIST에서 삼성 안드로이드 스마트폰 제품군에서 원격 잠금을 가능하게 하는 치명적인 취약점을 발견했다고 발표했다. 이 취약점은 CVE-2014-8346이라는 번호와 7.8이라는 위험등급을 받았다. 그 중 익스플로잇 가능성에 대한 점수는 10.0으로 심각한 수준에 있음을 드러냈다.

NIST는 “삼성 모바일 기기에 있는 원격 제어 기능은 네트워크를 통해 전송된 잠금 코드 데이터의 출처를 확인하지 않습니다. 그러니 도스 공격 등을 가능하게 해주는 코드 삽입이 그다지 까다롭지 않습니다”라고 10.0점의 이유를 설명했다. 또한 이 취약점을 이용한 해킹 과정은 유튜브를 통해 공개된 바 있는데, NIST의 발표문에도 이 유튜브 영상 2개에 대한 소개가 나와 있을 정도다.

그 중 한 영상에서는 CSRF 취약점을 공략하는 모습이 나오는데, 해커는 새로운 코드를 사용하여 기기를 원격에서 잠그고 풀 수 있다. 이런 유형의 공격은 랜섬웨어의 형태로 나타날 수 있다. 삼성에서는 아직 공식적으로 입장을 밝히지 않고 있다.

한편 삼성은 지난 주말 녹스 시스템의 취약점이 제기되는 바람에 주초까지 이에 대한 해명과 설명을 한 바 있다. 이번 NIST 발표문에 소개된 유튜브 영상은 여기와 여기서 각각 볼 수 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>