https://youtu.be/a98Zky4pLdI

 

 

유튜브 보다가 발견했습니다. (유튜브 업로드 날짜 2020년 5월 12일)

 

영상을 요약하자면

유저가 아무런 행동(0-클릭)을 하지 않더라도 모든 권한이 탈취되는 보안 구멍입니다..

 

삼성에서 제작한 qmg 이미지 관련 처리관련에서 구멍이 발견됐는데 (타 안드로이드는 문제 없다고 합니다.. ;)

qmg는 보통 부팅로고 띄울때 사용하는 이미지의 포맷이라고 합니다.

 

구글의 Project Zero bug-hunting team에서 이를 발견하고 삼성에 리포트 했다고 합니다.

 

쨌든 해당 취약점을 이용해서 할 수 있는 취약점은

 

10점 만점에 10점의 점수를 받은 엄청 큰 리스크 문제라고 합니다.

 

위 동영상의 4분 10초경에서 시연영상을 볼 수 있는데

 

갤럭시의 핸드폰 번호만 알면, 해당 갤럭시로 MMS를 몇개 보내면 권한이 탈취됩니다 -0-

 

 

 

다행히 갤럭시의 2020년 5월 보안 패치에서 해결되었다고 합니다.

 

다만 아직 해당 보안 펌웨어를 받지 못한 갤럭시가 수천만대일거라고 예상된다고 합니다.

 

 

 

참 어이가없는 충격적인 보안 구멍이네요 -0-

 

삼성 악재가 겹치네요 

 

 

 

현재로써 보안패치를 받지 못한사람이 막을 수 있는 방법은

 

설정 - 애플리케이션 - 메시지어플 설정 - 추가 설정 - 멀티미디어 메시지(MMS)에 있는

'내용 바로 보기'를 꺼놓아야 한다고 합니다. (MMS가 도착하면 자동으로 저장해놓는 기능인데 이를 해제해야 한다고 합니다)

 

 

해외에서는 기사가 나오는데 국내 기사가 없다고 하네요