안드로이드

안드로이드 기본 브라우저 URL 스푸핑에 취약

Lucian Constantin | IDG News Service 2015.05.21
안드로이드의 기본 웹 브라우저가 URL 스푸핑 공격에 취약한 것으로 나타났다.

구글은 지난 4월에 해당 취약점 패치를 배포했으나, 아직 여러 제조업체 및 통신사가 업데이트를 하지 않아 여전히 많은 제품이 위험한 상태인 것으로 알려졌다.

보안 연구원인 라페이 발록이 해당 취약점을 최초로 발견했으며, 보안 업체 래피드7(Rapid7)의 도움으로 비공개로 구글에 보고했다.

해당 취약점은 안드로이드 5.0 롤리팝에서 발견되었는데, 롤리팝은 기본 브라우저로 크롬을 사용하고 있지만, 이전 버전의 기본 브라우저도 똑같이 취약하다.

이 취약점은 204 에러 처리 과정에서 나타나는 것으로, www.google.com에 리소스가 존재하지 않는 곳으로 브라우저를 우회시켜 가짜 구글 계정 로그인 페이지를 로딩한다.

구글 플레이를 통해서 크롬용 브라우저 패치는 배포되었지만, 안드로이드 4.4의 경우에는 운영체제 업데이트가 필요하다. 이러한 운영체제 업데이트는 제조사나 통신사의 소관이다.

구글이 공식 통계에 따르면, 현재 구글 플레이에 접속하는 안드로이드 기기 중 40%가 안드로이드 4.4를 구동하고 있으며, 안드로이드 5.x 운영체제의 점유율은 10% 미만이다.

래피드7측은 아직 운영체제 업데이트를 못한 안드로이드 4.4 사용자들은 이 공격을 피하기 위해서 항상 인증된 사이트에만 방문해야 한다고 경고했다. 구글 플레이를 통해서 업데이트된 크롬이나 다른 브라우저를 이용하는 것도 방법이다.

안드로이드 4.4 이하 버전을 사용하는 사람들은 AOSP 브라우저로 알려져 있는 안드로이드 기본 브라우저 사용을 중단해야 한다. 이번 취약점과 상관없이 구글이 더 이상 보안 패치를 배포하지 않기 때문이다. editor@itworld.co.kr
 
Sponsored
IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.