2017년 9월 이후 전 세계적으로 출하된 Google Pixel 기기의 상당수에는 사악한 공격을 감행하고 다양한 종류의 맬웨어를 전달하는 데 사용될 수 있는 잠복 소프트웨어가 포함되어 있었습니다.
모바일 보안 회사인 iVerify에 따르면, 이 문제는 “Showcase.apk”라는 사전 설치된 Android 앱의 형태로 나타나며, 이 앱에는 과도한 시스템 권한이 포함되어 있어 원격으로 코드를 실행하고 기기에 임의의 패키지를 설치할 수 있는 권한이 있습니다.
Palantir Technologies와 Trail of Bits와 공동으로 발표한 분석 자료에 따르면, “해당 애플리케이션은 안전하지 않은 연결을 통해 구성 파일을 다운로드하고 시스템 수준에서 코드를 실행하도록 조작될 수 있습니다.”
“해당 애플리케이션은 보안되지 않은 HTTP를 통해 단일 미국 기반 AWS 호스팅 도메인에서 구성 파일을 검색하는데, 이로 인해 구성이 취약해지고 장치가 취약해질 수 있습니다.”
문제의 앱은 Verizon Retail Demo Mode(“com.customermobile.preload.vzw”)라고 불리며, 이 앱은 위치와 외부 저장소를 포함하여 2월 초 VirusTotal에 업로드된 아티팩트를 기반으로 약 36개의 다른 권한이 필요합니다. Reddit과 XDA 포럼의 게시물에 따르면 이 패키지는 2016년 8월부터 있었습니다.
문제의 핵심은 HTTPS가 아닌 암호화되지 않은 HTTP 웹 연결을 통해 앱이 구성 파일을 다운로드하는 것과 관련이 있으며, 이를 통해 대상 휴대폰으로 전송하는 동안 파일을 변경할 수 있는 문이 열립니다. 야외에서 이를 탐색한 증거는 없습니다.
Showcase.apk 앱에서 요청하는 권한 |
앱이 Google에서 만든 소프트웨어가 아니라는 점은 주목할 만합니다. 오히려 Smith Micro라는 기업 소프트웨어 회사에서 기기를 데모 모드로 전환하기 위해 개발한 것입니다. 현재 타사 소프트웨어가 Android 펌웨어에 직접 내장된 이유는 명확하지 않지만, Google 담당자는 백그라운드에서 해당 애플리케이션은 Verizon이 소유하고 모든 Android 기기에 필요하다고 말했습니다.
그 결과, Android Pixel 스마트폰은 중간자 공격(AitM)에 취약해져 악의적인 행위자가 악성 코드와 스파이웨어를 삽입할 수 있는 권한을 얻게 됩니다.
시스템 수준에서 높은 권한이 있는 컨텍스트에서 실행되는 것 외에도, 해당 애플리케이션은 “애플리케이션 구성 파일을 검색하는 동안 정적으로 정의된 도메인을 인증 또는 확인하지 못하고” “인증서 및 서명 확인 중에 안전하지 않은 기본 변수 초기화를 사용하여 실패 후 유효한 확인 검사를 수행합니다.”
그럼에도 불구하고, 앱이 기본적으로 활성화되어 있지 않다는 사실에 의해 이 단점의 심각성은 어느 정도 완화됩니다. 다만 위협 행위자가 대상 장치에 물리적으로 접근할 수 있고 개발자 모드가 활성화된 경우에만 앱이 기본적으로 활성화되어 있을 수 있습니다.
iVerify는 “이 앱은 본질적으로 악성이 아니기 때문에 대부분의 보안 기술에서는 이를 간과하고 악성으로 표시하지 않을 수 있습니다. 또한 이 앱은 시스템 수준에서 설치되고 펌웨어 이미지의 일부이기 때문에 사용자 수준에서 제거할 수 없습니다.”라고 밝혔습니다.
The Hacker News와 공유한 성명에서 Google은 Android 플랫폼이나 Pixel 취약점이 아니며 Verizon 매장 데모 기기용으로 개발된 패키지 파일과 관련이 있다고 밝혔습니다. 또한 앱이 더 이상 사용되지 않는다고 말했습니다.
“사용자 휴대폰에서 이 앱을 악용하려면 기기에 대한 물리적 접근과 사용자 비밀번호가 모두 필요합니다.” Google 대변인이 말했습니다. “우리는 어떠한 적극적인 악용의 증거도 보지 못했습니다. 예방 조치의 일환으로, 다가올 Pixel 소프트웨어 업데이트와 함께 지원되는 모든 시중 Pixel 기기에서 이 앱을 제거할 것입니다. 이 앱은 Pixel 9 시리즈 기기에는 없습니다. 또한 다른 Android OEM에도 알리고 있습니다.”