안드로이드 스마트폰 해킹 취약점 CVE-2019-2107 발견

꿈을꾸는 파랑새

오늘은 안드로이드 스마트폰 해킹 취약점 CVE-2019-2107 발견되었다고 합니다. 일단 해당 취약점은 스마트폰에서 비디오를 재생하는 동안 인터넷을 통해 내려받거나 이메일을 통해 수신하는 동안 발생을 합니다. 해당 취약점이 존재를 안드로이드 OS는 다음과 같습니다.
안드로이드 7.0~안드로이드 9.0 (Nougat(누가), Oreo(오레오), Pie(파이) 입니다. 해당 취약점은 악의적으로 제작된 동영상을 재생할 때 발생을 합니다. 해당 취약점은 RCE 취약점(CVE-2019-2107)은 Android(안드로이드) 미디어 프레임 워크에 존재를 하고 있으며 해당 취약점을 악용하면 원격 공격자가 대상 장치에서 임의 코드를 실행할 수 있는 문제입니다.

해당 공격자는 Android(안드로이드)의 기본 동영상 플레이어 애플리케이션을 사용하여 특수 제작된 동영상 파일을 재생하도록 사용자를 속이는 역할을 할 수가 있습니다. 그렇게 되면 기기를 완벽하게 제어하는 문제입니다. 일단 해당 취약점은 기본적으로 구글에서 2019년7월에 보안 업데이트가 진행이 되었습니다.

다만, 해당 취약점 보안 업데이트는 구글 폰들만 업데이트가 되었으며 일단 기타 스마트폰 제조사에서는 일단 갱신은 진행되지 않아서 제조사에서 최신 안드로이드 보안 업데이트는 대기 상태입니다. 즉 기타 스마트폰 제조사들은 제조사에서 업데이트를 해주어야 해당 보안 취약점을 해결할 수가 있습니다.

NIKON CORPORATION | NIKON D7100 | 90.0mm | ISO-100, 0

그리고 현재 취약점은 악용될 확률이 높습니다. 독일 Android 개발자인 Marcin Kozlowski가 Github에 대한이 공격의 개념 증명을 업로드을 했습니다. 단 악의적인 목적으로 제작된 비디오가 유튜브(YouTube), 트위터(Twitter),WhatsApp,Facebook Messenger 등에 업로드가 되면 해당 문제가 되지 않습니다.

이러한 서비스들은 일반적으로 비디오를 압축하고 악의적인 코드를 왜곡시키는 미디어 파일을 다시 인코딩하기 때문입니다. 다만, 신뢰할 수 없는 출처의 동영상을 다운로드하여 재생하지 말고 기본적인 보안 수칙을 따르고 그리고 보안 패치가 발표될 때까지 주의해야 하면 그리고 다른 보안 취약점이 나올 수가 있으니 출처를 알 수가 없는 파일, 동영상, 앱등을 실행을 하는 것은 자제해야 합니다.

참고 사이트 1

참고 사이트 2

참고 사이트 3

CVE-2019-2107: 영향을 받는 안드로이드 버전 Android 7.0 Android 7.1.1,Android 7.1.2,Android 8.0,Android 8.1,Android 9입니다.
Hevcfright 개념 악용 증명(서비스 거부 PoC)입니다. hevcd_parse_headers.c의 ihevcd_parse_pps에는 경계 검사 누락으로 인해 범위를 벗어날 가능성이 있음 추가 실행 권한이 필요없는 원격 코드 실행이 발생할 수 있습니다. 일단 구글 폰 을 사용을 하시는 분들은 반드시 업데이트를 하면 되고 기타 안드로이드 스마트폰은 제조사에서 보안 업데이트가 나올 때까지 기다리다가 갱신을 진행하시면 됩니다.

이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.

  1. Favicon of https://jongamk.tistory.com 핑구야 날자 2019.07.27 06:47 신고

    취약점이 발견되면 여러 가지로 걱정되는게 많아지지요

    • Favicon of https://wezard4u.tistory.com Sakai 2019.07.27 23:06 신고

      업데이트가 나오면 업데이트를 진행을 하는것이 안전하게 스마트폰을 사용을 하는 방법일것입니다.

  2. Favicon of https://iamnot1ant.tistory.com 베짱이 2019.07.30 16:48 신고

    구글 레퍼런스 폰을 사용하는데...
    보안업데이트가 종료된 모델이라... 이 글로 인해 불안하네요. ㅋㅋ

    • Favicon of https://wezard4u.tistory.com Sakai 2019.07.30 18:58 신고

      출처가 확실하지 않는 동영상을 재생을 하는것은 위험 할수가 있겠죠.