2020.08.19

체크포인트, 스마트폰 ‘퀄컴 DSP 칩’ 취약성 코드 섹션 발견

편집부 | CIO KR
체크포인트 소프트웨어 테크놀로지스가 전 세계 스마트폰 40% 이상에서 사용되는 칩에서 수백개의 취약점 코드 섹션을 발견했다고 밝혔다. 

체크포인트 연구진은 구글, LG, 삼성, 샤오미, 원플러스 등 세계 스마트폰의 40% 이상에 내장된 퀄컴 칩에서 400개 이상의 취약점을 찾아냈다고 전했다. 

회사에 따르면 공격자들은 사용자와의 상호작용 없이도 스마트폰을 스파이 도구로 만들어, 사진, 비디오, 통화기록, 실시간 마이크 데이터, GPS, 위치 데이터 등의 정보를 유출할 수 있다. 계속해서 스마트폰을 마비시키고, 저장돼 있는 모든 정보를 영구적으로 사용할 수 없도록 취약점을 악용할 수 있고, 해커의 활동을 완전히 숨기고, 삭제하지 못하게 할 수 있다. 

DSP(Digital Signal Processor)로 알려진 이 칩은 퀄컴이 제조했으며, 거의 모든 안드로이드 스마트폰에서 찾을 수 있다. 올해 데프콘(Def Con)이 발표한 ‘아킬레스(Achilles)’라는 제목의 발표된 연구논문에서 체크포인트 연구진은 퀄컴의 DSP에서 발견된 400개 이상의 중대한 보안 위험성을 밝혔다. 

DSP는 디지털 신호 프로세서로, 음성, 영상 및 환경 신호 등 실시간 신호를 연산할 수 있는 정제된 데이터로 가져오는데 특화돼 있다. DSP는 최소한의 에너지를 소모하며, 고속으로 덧셈 및 뺄셈 등 수학 함수를 수행하도록 설계돼 있다. 이 기술은 헤드폰, 스마트폰, 스마트 스피커, 스튜디오 오디오 장비, 차량 엔터테인먼트 시스템 등의 내부에서 찾을 수 있다. 

예를 들어, MP3 파일을 디코딩, 음악의 저음 강화, 액티브 노이즈 캔슬링을 위한 계산 등을 수행하며, ‘오케이 구글(Hey Google)’을 외칠 때 음성을 인식하기 위해 사용자의 스마트폰 안에 DSP가 있다. 간단히 말해, DSP는 하나의 칩에 담긴 완전한 컴퓨터 같은 기능을 하며, 거의 모든 스마트폰에는 최소한 이런 칩이 하나씩은 존재한다.

체크포인트 연구진은 퀄컴 DSP 관련 연구를 수행한 후, DSP가 해커들에게 심각한 공격점(Attach Frontier)이라고 설명했다. 이 칩으로 인해 모바일 장치에 대한 새로운 공격면(Attack Surface)이자, 약점이 추가됐다. DSP 칩은 제조업체 외에는 다른 누군가가 설계, 기능 혹은 코드를 검토하기 매우 복잡할 수가 있기 때문에, ‘블랙 박스’로 관리돼 리스크에 훨씬 더 취약하다.

체크포인트 연구진은 발견사항을 퀄컴에 공개했다. 해당 칩 제조업체인 퀄컴은 보안 취약점을 인정하고 관련 업체에 통보했으며, CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 및 CVE-2020-11209를 발표했다.
 
체크포인트 리서치(Check Point Research)는 모바일 업체들이 잠재적 위험성에 대해 포괄적인 솔루션을 갖출 때까지 취약점에 대한 기술 세부사항을 공개하지 않기로 결정했다. 

체크포인트 코리아의 이은옥 지사장은 “해커들의 악의적인 공격은 이제 디바이스를 넘어 칩까지 노리고 있는 상황”이라며 “제조업체가 제공하는 패치가 나올 때까지 반드시 기술력을 갖춘 전문 보안 벤더의 애플리케이션 통해 철저히 대비해야만 한다”라고 말했다. ciokr@idg.co.kr



2020.08.19

체크포인트, 스마트폰 ‘퀄컴 DSP 칩’ 취약성 코드 섹션 발견

편집부 | CIO KR
체크포인트 소프트웨어 테크놀로지스가 전 세계 스마트폰 40% 이상에서 사용되는 칩에서 수백개의 취약점 코드 섹션을 발견했다고 밝혔다. 

체크포인트 연구진은 구글, LG, 삼성, 샤오미, 원플러스 등 세계 스마트폰의 40% 이상에 내장된 퀄컴 칩에서 400개 이상의 취약점을 찾아냈다고 전했다. 

회사에 따르면 공격자들은 사용자와의 상호작용 없이도 스마트폰을 스파이 도구로 만들어, 사진, 비디오, 통화기록, 실시간 마이크 데이터, GPS, 위치 데이터 등의 정보를 유출할 수 있다. 계속해서 스마트폰을 마비시키고, 저장돼 있는 모든 정보를 영구적으로 사용할 수 없도록 취약점을 악용할 수 있고, 해커의 활동을 완전히 숨기고, 삭제하지 못하게 할 수 있다. 

DSP(Digital Signal Processor)로 알려진 이 칩은 퀄컴이 제조했으며, 거의 모든 안드로이드 스마트폰에서 찾을 수 있다. 올해 데프콘(Def Con)이 발표한 ‘아킬레스(Achilles)’라는 제목의 발표된 연구논문에서 체크포인트 연구진은 퀄컴의 DSP에서 발견된 400개 이상의 중대한 보안 위험성을 밝혔다. 

DSP는 디지털 신호 프로세서로, 음성, 영상 및 환경 신호 등 실시간 신호를 연산할 수 있는 정제된 데이터로 가져오는데 특화돼 있다. DSP는 최소한의 에너지를 소모하며, 고속으로 덧셈 및 뺄셈 등 수학 함수를 수행하도록 설계돼 있다. 이 기술은 헤드폰, 스마트폰, 스마트 스피커, 스튜디오 오디오 장비, 차량 엔터테인먼트 시스템 등의 내부에서 찾을 수 있다. 

예를 들어, MP3 파일을 디코딩, 음악의 저음 강화, 액티브 노이즈 캔슬링을 위한 계산 등을 수행하며, ‘오케이 구글(Hey Google)’을 외칠 때 음성을 인식하기 위해 사용자의 스마트폰 안에 DSP가 있다. 간단히 말해, DSP는 하나의 칩에 담긴 완전한 컴퓨터 같은 기능을 하며, 거의 모든 스마트폰에는 최소한 이런 칩이 하나씩은 존재한다.

체크포인트 연구진은 퀄컴 DSP 관련 연구를 수행한 후, DSP가 해커들에게 심각한 공격점(Attach Frontier)이라고 설명했다. 이 칩으로 인해 모바일 장치에 대한 새로운 공격면(Attack Surface)이자, 약점이 추가됐다. DSP 칩은 제조업체 외에는 다른 누군가가 설계, 기능 혹은 코드를 검토하기 매우 복잡할 수가 있기 때문에, ‘블랙 박스’로 관리돼 리스크에 훨씬 더 취약하다.

체크포인트 연구진은 발견사항을 퀄컴에 공개했다. 해당 칩 제조업체인 퀄컴은 보안 취약점을 인정하고 관련 업체에 통보했으며, CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 및 CVE-2020-11209를 발표했다.
 
체크포인트 리서치(Check Point Research)는 모바일 업체들이 잠재적 위험성에 대해 포괄적인 솔루션을 갖출 때까지 취약점에 대한 기술 세부사항을 공개하지 않기로 결정했다. 

체크포인트 코리아의 이은옥 지사장은 “해커들의 악의적인 공격은 이제 디바이스를 넘어 칩까지 노리고 있는 상황”이라며 “제조업체가 제공하는 패치가 나올 때까지 반드시 기술력을 갖춘 전문 보안 벤더의 애플리케이션 통해 철저히 대비해야만 한다”라고 말했다. ciokr@idg.co.kr

X