퀄컴 AP 보안 이슈,
QualPwn 취약점
정말 많은 스마트폰에 사용되고 있는 칩셋의 보안 취약점 발견 및 보안패치
원문 링크
https://www.xda-developers.com/qualpwn-vulnerability-snapdragon-835-snapdragon-845/
본 글은 원문을 바탕으로 의역하여 정리한 글입니다.
다소 틀린 부분이 있을 수 있으니 양해 바랍니다.
1. Tencent Blade Team 연구원들이 스냅드래곤 820 이후 최근 몇 년간 출시된 퀄컴 AP에 영향을 미치는 중요한 취약점을 발견했습니다.
2. QualPwn이라 불리는 이 취약점은 다음과 같은 행동을 할 수 있습니다.
퀄컴 칩셋의 WLAN 인터페이스를 활용, 공격자가 모뎀을 제어할 수 있도록 합니다.
이론상 같은 네트워크 상의 모든 사용자는 상호 작용 없이 서로의 기기를 공격할 수 있습니다.
잠재적으로 다른 사람의 장치에 대한 모든 루트 액세스 권한을 얻을 수 있습니다. (단, 많은 작업 필요)
공격자가 무언가를 설치하거나 감시, 데이터를 손상시킬 수 있습니다.
3. 영향받는 장치는 다음의 AP를 사용한 제품입니다.
Snapdragon 630
Snapdragon 636
Snapdragon 660
Snapdragon 660 Development Kit
Snapdragon 665
Snapdragon 670
Snapdragon 675
Snapdragon 710
Snapdragon 712
Snapdragon 730
Snapdragon 820
Snapdragon 820 Automotive
Snapdragon 835
Snapdragon 845
SD 850
Snapdragon 855
Snapdragon 8CX
IPQ8074
QCA6174A
QCA6574AU
QCA8081
QCA9377
QCA9379
QCS404
QCS405
QCS605
SXR1130
4. 다행히도 이 취약점은 실제로 악용되지 않았습니다.
(이 취약점을 활용하기 위해서는 악용 방법을 아는 인원과 공격받을 대상이 동일한 Wi-Fi 네트워크에 연결되어있어야 함)
5. 퀄컴은 OEM 수정 프로그램을 배포했으며, 2019년 8월 보안 패치에 반영되어있습니다.
6. 퀄컴 스냅드래곤 AP를 사용하고 있는 단말기 사용자분들께서는 2019년 8월 보안 패치 꼭 진행하시길 권장합니다.
퀄컴 칩셋 같은 경우, 일부 제조사를 제외하고는 많은 제조사에서 사용하고 있다 보니.. 악의적 목적을 가진 사용자가 먼저 발견하고 보안 연구원분들이 조금이라도 늦게 발견했었다면 정말 큰 위협으로 다가올 수밖에 없었던 중요한 보안 이슈입니다.
다행히도 보안 연구원분들이 먼저 발견해서 퀄컴으로 피드백이 들어갔고, 이 피드백은 2019년 8월 보안 패치에 반영되었으니, 하나 둘 제조사들이 빠른 시일 내에 보안 패치 업데이트를 제공할 것으로 생각됩니다. (OnePlus 같은 경우 8월 보안 패치를 조기에 게시했습니다.)
정말 많은 곳에 사용되는 칩셋임에도 불구하고 피해 없이 빠르게 발견, 패치가 제공되니 정말 다행이고, 2019년 8월 보안 패치 업데이트가 제공되면 빠른 시일 내로 업데이트하실 것을 권장 드리며 글을 마칩니다.
