녹스 2.6의 두 가지 취약점 통해 높은 권한 취득 가능
현재 녹스는 2.8 버전, “그러나 완전히 안전하지는 않을 듯”
[보안뉴스 문가용 기자] 삼성이 지난해 공개한 ‘안전한 모바일 플랫폼’인 녹스 2.6에서 결함이 발견됐다. 텐센트 킨 시큐리티 랩(Tencent Keen Security Lab)의 수석 보안 연구원인 디 셴(Di Shen)이란 인물이 발견한 것으로, 녹스 2.6의 주요 보안 기능들 중 일부를 우회할 수 있었다고 한다.
[이미지 = iclickart]
디 셴이 우회에 성공했다는 기능은 정보가 의도된 곳에 정확히 도착하도록 해주는 DFI(data flow integrity)와 공격자들에게 지속적으로 잘못된 커널 위치 주소를 노출시키는 KASLR(Kernel Address Space Layout Randomization) 기능 등이다. 디 셴은 보다 자세한 내용을 다음 달 라스베가스에서 개최되는 블랙햇(Black Hat) 행사를 통해 발표할 예정이다
물론 삼성은 해당 문제를 해결한 2.8 버전을 최근에 발표한 바 있다. 하지만 셴은 “2.8 버전이라고 완벽히 안전한 건 아니”라고 주장한다. “제가 익스플로잇 방법을 개발했을 때는 2.6 버전만 있었습니다. 지금은 2.8 버전이니 그 방법들이 통할 리가 없습니다. 하지만 제 방법을 응용한다면 2.8도 충분히 위험할 수 있습니다.”
물론 셴이 녹스 2.8 버전으로 실험을 해본 건 아니기 때문에 이렇게 말하는 건 ‘아직’ 일방적인 주장이다. 하지만 셴은 녹스의 변화로그를 통해 CFI 기능이 그대로 남아 있다는 걸 확인했으며, “CFI 보안 기능은 윈도우 시스템에서 얼마든지 우회가 가능한 것이 이미 드러났으므로 2.8 버전에서도 우회할 수 있을 것으로 보인다”고 설명한다. “물론 익스플로잇 개발이 간단한 작업은 아닐 것입니다.”
녹스 2.6 익스플로잇
셴은 녹스 2.6 버전에 있는 두 가지 취약점들을 통해 악성 애플리케이션을 삼성 갤럭시 S7에 설치하는 데에 성공했다. “두 가지 취약점 모두 리눅스 커널에서 발견된 것들입니다. 하나는 정보 유출 취약점으로 KASLR을 우회할 수 있게 해주고, 다른 하나는 perf 하위 시스템에 있는 use after free 취약점으로 임의의 커널 메모리 오버라이팅을 할 수 있게 해줍니다.”
셴은 먼저 KASLR을 우회해 커널이 정확히 어디 있는지를 파악했다. 그런 다음 리눅스 커널 데이터 메모리를 조작해 DFI를 우회했다. 그러자 루트 권한을 취득할 수 있었다. 높은 권한을 가진 셴은 커널 메모리 내에 위치한 Security Enhanced Linux(SELinux) 데이터베이스를 조작할 수 있었고, 이 작업을 통해 여러 보안 기능들을 가볍게 피해갔다.
“공격자가 저와 똑같은 방식으로 작업을 진행시키면 전화기에 저장된 민감한 정보들을 전부 탈취하거나, 웹 브라우저를 하이재킹해 지속적인 스파잉 행위를 할 수 있게 됩니다. 심지어 카메라와 스피커까지도 통제할 수 있기도 하고요.”
삼성 측은 대변인을 통해 “삼성 녹스는 삼성의 모바일 기기들에 탑재되어 하드웨어, 소프트웨어, 앱을 최대한 안전하게 보호하는 장치”라며 “사용자들에게 업데이트를 적극 권장하고 있다”고 설명했다. 셴이 발표한 2.6 버전의 취약점들에 대해서는 이미 2월에 패치가 끝났다고도 강조했다.
셴은 자신의 발견이 삼성 보안 팀에 도움이 되길 바란다는 뜻도 내비쳤다. “세상에 취약점이 하나도 없고 익스플로잇이 전혀 없는 소프트웨어는 없습니다. 녹스도 그 중 하나고요. 그 취약점이 드러났을 때 바로 고치고 사용자들에게 업데이트를 제공해주는 것이 개발자들의 당연한 할 일이고요. 취약점 유무로 소프트웨어의 안전성을 평가해서는 안 됩니다. 게다가 녹스는 모바일 보안 장치 중 최상위급에 속합니다.”
[국제부 문가용 기자(globoan@boannews.com)]
현재 녹스는 2.8 버전, “그러나 완전히 안전하지는 않을 듯”
[보안뉴스 문가용 기자] 삼성이 지난해 공개한 ‘안전한 모바일 플랫폼’인 녹스 2.6에서 결함이 발견됐다. 텐센트 킨 시큐리티 랩(Tencent Keen Security Lab)의 수석 보안 연구원인 디 셴(Di Shen)이란 인물이 발견한 것으로, 녹스 2.6의 주요 보안 기능들 중 일부를 우회할 수 있었다고 한다.
[이미지 = iclickart]
디 셴이 우회에 성공했다는 기능은 정보가 의도된 곳에 정확히 도착하도록 해주는 DFI(data flow integrity)와 공격자들에게 지속적으로 잘못된 커널 위치 주소를 노출시키는 KASLR(Kernel Address Space Layout Randomization) 기능 등이다. 디 셴은 보다 자세한 내용을 다음 달 라스베가스에서 개최되는 블랙햇(Black Hat) 행사를 통해 발표할 예정이다
물론 삼성은 해당 문제를 해결한 2.8 버전을 최근에 발표한 바 있다. 하지만 셴은 “2.8 버전이라고 완벽히 안전한 건 아니”라고 주장한다. “제가 익스플로잇 방법을 개발했을 때는 2.6 버전만 있었습니다. 지금은 2.8 버전이니 그 방법들이 통할 리가 없습니다. 하지만 제 방법을 응용한다면 2.8도 충분히 위험할 수 있습니다.”
물론 셴이 녹스 2.8 버전으로 실험을 해본 건 아니기 때문에 이렇게 말하는 건 ‘아직’ 일방적인 주장이다. 하지만 셴은 녹스의 변화로그를 통해 CFI 기능이 그대로 남아 있다는 걸 확인했으며, “CFI 보안 기능은 윈도우 시스템에서 얼마든지 우회가 가능한 것이 이미 드러났으므로 2.8 버전에서도 우회할 수 있을 것으로 보인다”고 설명한다. “물론 익스플로잇 개발이 간단한 작업은 아닐 것입니다.”
녹스 2.6 익스플로잇
셴은 녹스 2.6 버전에 있는 두 가지 취약점들을 통해 악성 애플리케이션을 삼성 갤럭시 S7에 설치하는 데에 성공했다. “두 가지 취약점 모두 리눅스 커널에서 발견된 것들입니다. 하나는 정보 유출 취약점으로 KASLR을 우회할 수 있게 해주고, 다른 하나는 perf 하위 시스템에 있는 use after free 취약점으로 임의의 커널 메모리 오버라이팅을 할 수 있게 해줍니다.”
셴은 먼저 KASLR을 우회해 커널이 정확히 어디 있는지를 파악했다. 그런 다음 리눅스 커널 데이터 메모리를 조작해 DFI를 우회했다. 그러자 루트 권한을 취득할 수 있었다. 높은 권한을 가진 셴은 커널 메모리 내에 위치한 Security Enhanced Linux(SELinux) 데이터베이스를 조작할 수 있었고, 이 작업을 통해 여러 보안 기능들을 가볍게 피해갔다.
“공격자가 저와 똑같은 방식으로 작업을 진행시키면 전화기에 저장된 민감한 정보들을 전부 탈취하거나, 웹 브라우저를 하이재킹해 지속적인 스파잉 행위를 할 수 있게 됩니다. 심지어 카메라와 스피커까지도 통제할 수 있기도 하고요.”
삼성 측은 대변인을 통해 “삼성 녹스는 삼성의 모바일 기기들에 탑재되어 하드웨어, 소프트웨어, 앱을 최대한 안전하게 보호하는 장치”라며 “사용자들에게 업데이트를 적극 권장하고 있다”고 설명했다. 셴이 발표한 2.6 버전의 취약점들에 대해서는 이미 2월에 패치가 끝났다고도 강조했다.
셴은 자신의 발견이 삼성 보안 팀에 도움이 되길 바란다는 뜻도 내비쳤다. “세상에 취약점이 하나도 없고 익스플로잇이 전혀 없는 소프트웨어는 없습니다. 녹스도 그 중 하나고요. 그 취약점이 드러났을 때 바로 고치고 사용자들에게 업데이트를 제공해주는 것이 개발자들의 당연한 할 일이고요. 취약점 유무로 소프트웨어의 안전성을 평가해서는 안 됩니다. 게다가 녹스는 모바일 보안 장치 중 최상위급에 속합니다.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.png)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
