아스 테크니카(Ars Technica)의 지적처럼 이 문제는 2017년 12월 보안 업데이트로 패치됐지만, 소스 코드 검토에 따르면, 여전히 많은 휴대폰이 취약한 상태다. 구글에 따르면, 위험한 휴대폰 모델은 다음과 같다.
픽셀, 픽셀 2
삼성 갤럭시 S7, S8, S0
화웨이 P20
샤오미 레드미 5A
샤오미 레드미 노트 5
샤오미 A1
오포 A3
모토 Z3
안드로이드 8 오레오를 구동하는 LG 폰 등
구글에 따르면, 이 익스플로잇은 사전에 다비이스를 맞춤 구성할 필요는 없으나 크롬 샌드박스나 신뢰할 수 없는 앱 스토어를 통해 악성 앱을 설치해야 공격할 수 있다고 한다. 즉, 원격으로 실행되지는 않기 때문에 주의를 기울이는 것만으로도 피해는 예방할 수 있다. 연구원 메디 스톤은 “이 버그는 취약한 장치를 완전히 손상시킬 수 있는 로컬 특권 확대 취약점(local privilege escalation vulnerability)이다. 이 취약점에 샌드박스로 액세스할 수 있기 때문에 익스플로잇이 웹을 통해 전달되면 렌더러 익스플로잇과의 연결만 필요하다”고 설명했다.
구글은 이스라엘 기반의 ‘익스플로잇 개발자’로 알려진 NSO 그룹에 의해 이 익스플로잇이 적극적으로 악용되고 있음을 발견한 후, 30일 공개 버그에서 7일 공개 버그로 변경했다. 아스 테크니카의 설명대로 NSO 그룹은 2016년에 발견된 페가수스 스파이웨어와도 연결되어 있는 것으로 알려져 있다.
발표문에서 구글은 곧 조치를 할 것이라고 전했다. “픽셀 1과 2는 10월 보안 릴리즈로 보호될 예정이다. 안드로이드 생태계 전체가 이 문제에서 자유로울 수 있도록 파트너들에게도 패치를 제공할 것”이라고 말했다. 픽셀 3와 3a는 익스플로잇의 영향이 없다.
이 취약점이 직접적으로 해를 끼칠 가능성은 적지만 사용자들은 10월 보안 업데이트가 나올 때까지 신뢰할 수 없는 앱 다운로드를 피해야 한다. editor@itworld.co.kr