개요
- 삼성, LG 등 스마트폰에 탑재되는 안드로이드에서 마스터키(CVE-2013-4787) 취약점이 발견됨
- 공격자는 안드로이드 설치 파일(apk)을 변조하여 디지털 서명을 무효화하지 않고도 악성코드를 정상적인 안드로이드 앱에 삽입하여 실행 가능
- 낮은 안드로이드 버전의 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 최신버전으로 업그레이드 권고
해당 시스템
- 영향 받는 소프트웨어
- 안드로이드 1.6(Donut)부터 4.2(Jelly Bean)의 버전
해결방안
- 안드로이드 1.6(Donut)부터 4.2(Jelly Bean)의 버전 사용자
- 제조사별 펌웨어 업그레이드 프로그램을 통해 최신 펌웨어로 업그레이드
※ 삼성전자 펌웨어 업그레이드 프로그램(Samsung Kies) 다운로드 경로 :
http://www.samsung.com/sec/support/pcApplication/KIES
취약점이 패치된 모델 |
Galaxy S4, Galaxy S4 LTE-A, Galaxy Mega (취약점 기 패치되어 출시됨) |
Galaxy S2, Galaxy S2 LTE, Galaxy S2 HD |
Galaxy S3, Galaxy S3 LTE |
Galaxy Note, Galaxy Note 2, Galaxy Note 8, Galaxy Note 10.1 |
Galaxy Tab 7.7, Galaxy Tab 8.9 |
Galaxy R, Galaxy POP, Galaxy Grand |
※ LG전자 펌웨어 업그레이드 프로그램(LG Mobile Support Tool) 다운로드 경로 :
http://www.lgmobile.co.kr/lgmobile/front/download/retrieveDownloadMain.dev
취약점이 패치된 모델 |
LG G2 |
LG Optimus G/Gpro |
LG Optimus Vu/Vu2 |
LG Optimus LTE2 |
※ 팬텍 펌웨어 업그레이드 경로 :
http://www.vegaservice.co.kr/down/self/main.sky
취약점이 패치된 모델 |
VEGA Racer 2 (IM-A830S, IM-A830K, IM-A830L) |
VEGA S5 (IM-A840S) |
VEGA R3 (IM-A850S, IM-A850K, IM-A850L) |
VEGA N6 (IM-A860S, IM-A860K) |
VEGA IRON (IM-A870S, IM-A870K, IM-A870L) |
VEGA LTE A (IM-A880S) |
권고사항
- 확인되지 않는 문자에 포함된 링크는 절대 클릭 말고 즉시 삭제
- ‘스마트폰 이용자 10대 안전수칙’에 따라 스마트폰을 사용
- 스마트폰 이용자 10대 안전수칙
1. 의심스러운 애플리케이션 다운로드하지 않기
2. 신뢰할 수 없는 사이트 방문하지 않기
3. 발신인이 불명확하거나 의심스러운 메세지 및 메일 삭제하기
4. 비밀번호 설정 기능을 이용하고 정기적으로 비밀번호 변경하기
5. 블루투스 기능 등 무선 인터페이스는 사용시에만 켜놓기
6. 이상증상이 지속될 경우 악성코드 감염여부 확인하기
7. 다운로드한 파일은 바이러스 유무를 검사한 후 사용하기
8. PC에도 백신프로그램을 설치하고 정기적으로 바이러스 검사하기
9. 스마트폰 플랫폼의 구조를 임의로 변경하기 않기
10. 운영체제 및 백신프로그램을 항상 최신 버전으로 업데이트 하기
문의사항
- 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
[참고사이트]
[1] http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key
[2] http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4787
댓글