Offcanvas

모바일 / 보안

MWR 랩스, NFC 활용한 갤럭시 S3 해킹 시연

2012.09.20 Loek Essers   |  IDG News Service
연례 해킹 행사인 모바일 Pwn2Own에서 삼성 갤럭시 S3가 NFC를 통해 해킹됐다. 일단의 보안 전문가들은 암스테르담에서 열린 이 콘테스트에서 갤럭시 S3의 모든 데이터를 다운로드하는 시연을 진행했다.

보안 기업 MWR 랩스의 연구진들은 NFC 기능의 허점을 이용해 대상 S3 스마트폰 상의 파일을 로드했다. 연구진은 대상 S3의 파일을 열고 모든 권한을 획득하는데 성공했는데, 이는 해커가 대상 스마트폰을 통제할 수 있다는 의미라고 MWR의 보안 전문가 타이론 에라스무스는 밝혔다.

그는 이어 해킹이 사용된 앱이 백그라운드로 동작하기 때문에 사용자가 이를 감지해내기 어렵다고 덧붙였다.

한편 이번 취약점은 갤럭시 S2, S3를 비롯한 몇몇 HTC 스마트폰에 기본 탑재된 문서 뷰어 애플리케이션에 포함된 것이다. 연구진은 그러나 차후 악용의 소지가 있기 때문이 이 앱이 구체적으로 무엇인지 공개하지 않는다고 밝혔다.

연구진은 NFC 외에 이메일 메시지나 다운로드 등을 통해서도 해킹이 가능하다고 전했다. 에라스무스는 "NFC를 이용한 것은 극적인 효과를 위한 것이었다"라고 말했다.

이번 콘테스트 운영진인 드라고스 루주는 "허점의 규모 측면에서 무척 위험한 위협 요소다. Pwn2Own에서의 해킹 시연은 대개 브라우저와 같은 특정 부분을 악용한다. 그러나 MWR 랩스의 시연은 그렇지 않았다. 무척 이례적이다"라고 말했다.

 MWR 팀은 이번 해킹 시연에 성공함으로써 미화 3만 달러의 상금을 수상했다. 연구진은 이번 해킹에 사용된 기법이 삼성 측에 전달될 것이라면서 조속히 해결될 것으로 기대한다고 밝혔다.

한편 이번 Pwn2Own에서는 네덜란드 연구진이 아이폰 4S 해킹에 성공하기도 했다. 이들은 사파리 웹킷 엔진의 취약점을 악용함으로써 악성 웹 페이지를 통해 아이폰 4S의 주소록 데이터, 브라우징 히스토리, 사진을 발송해냈다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.