기술 지원
문서
로그인
문의하기
구글, 삼성 엑시노스 칩의 심각한 보안 결함 발견
2023년 3월 31일 TuxCare 홍보팀
구글의 프로젝트 제로는 삼성의 엑시노스 칩에서 18개의 제로데이 취약점을 발견했으며, 공격자는 이 취약점을 이용해 사용자 모르게 휴대폰을 완전히 손상시킬 수 있습니다.
이 결함은 삼성, 비보, 구글의 다양한 안드로이드 스마트폰과 엑시노스 W920 및 엑시노스 오토 T5123 칩셋을 사용하는 웨어러블 및 차량에 영향을 미칩니다.
이 18개 취약점 중 가장 심각한 4개 취약점(CVE-2023-24033, CVE-2023-26496, CVE-2023-26497, CVE-2023-26498)은 인터넷에서 베이스밴드로 원격 코드 실행을 허용합니다. 프로젝트 제로 테스트 결과, 이 네 가지 취약점을 통해 공격자는 사용자 상호 작용 없이 피해자의 전화번호만 알면 베이스밴드 수준에서 원격으로 휴대폰을 손상시킬 수 있는 것으로 확인되었습니다.
공격자는 이 네 가지 결함을 통해 사용자 상호 작용 없이 베이스밴드 수준에서 원격으로 휴대폰을 손상시켜 표적 디바이스와 주고받는 셀룰러 데이터에 대한 권한 있는 액세스 권한을 부여할 수 있습니다. 이러한 공격은 조용하고 원격으로 수행될 수 있으며, 숙련된 공격자는 운영 익스플로잇을 생성하여 영향을 받는 디바이스를 침해할 수 있습니다.
Pixel 6 및 7 단말기는 2023년 3월 보안 업데이트의 일부로 이미 수정되었지만, 다른 단말기에 대한 패치는 제조업체의 일정에 따라 달라질 수 있습니다. 사용자는 이러한 취약점을 악용할 위험을 없애기 위해 기기 설정에서 Wi-Fi 통화 및 VoLTE(Voice over LTE)를 비활성화하는 것이 좋습니다. 14개의 결함은 덜 심각하며 악의적인 모바일 네트워크 운영자 또는 디바이스에 로컬 액세스 권한을 가진 공격자가 필요합니다.
삼성 반도체는 이러한 취약점에 취약한 엑시노스 칩셋에 대한 권고 사항을 발표했습니다. 칩셋을 디바이스에 매핑하는 공개 웹사이트에 따르면 영향을 받는 제품에는 삼성, Vivo, Google의 모바일 디바이스(S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12, A04 시리즈와 Google의 Pixel 6 및 Pixel 7 시리즈 디바이스)가 포함될 가능성이 높습니다.
프로젝트 제로는 소프트웨어 또는 하드웨어 공급업체에 보안 결함을 보고한 후 일정 기간이 지난 후 이를 공개합니다. 프로젝트 제로는 인터넷에서 베이스밴드까지 원격 코드 실행을 허용하는 취약점 4가지에 대한 공개를 연기했는데, 이는 해당 취약점이 제공하는 액세스 수준과 신뢰할 수 있는 운영 익스플로잇을 제작할 수 있는 속도가 드물게 조합되어 있기 때문입니다. 나머지 14개의 취약점이 90일 이내에 수정되지 않으면 공개적으로 공개됩니다.
이 글의 출처는 TheHackerNews의 기사입니다.
