패치는 됐지만 퀄컴 칩셋을 사용하는 안드로이드 기기에 영향을 미치는 취약점이 공격자들에 의해 무기화되고 표적 공격에 활용되고 있어 각별한 주의가 필요하다.

구글에 따르면, CVE-2020-11261(CVSS 점수 8.4) 취약점이 메모리 손상을 트리거하는 데 악용될 수 있는 퀄컴 그래픽 구성 요소의 부적절한 입력 유효성 검사 문제와 관련이 있다고 밝혔다.

구글은 3월 18일 업데이트된 보안 게시판에서 "CVE-2020-11261이 공격에 악용되고 있다”고 경고했다.

CVE-2020-11261은 2020년 7월 20일에 구글 안드로이드 보안팀에서 발견돼, 퀄컴에 보고되었으며 2021년 1월에 수정되었다.

취약점에 대한 액세스 벡터가 "로컬"이라는 점은 주목할 필요가 있다. 즉 악용하려면 장치에 대한 로컬 액세스가 필요하다. 공격에 성공하려면 공격자는 취약한 스마트폰에 물리적으로 접근하거나 다른 수단(예: 워터링 홀)을 사용해 악성코드를 전달하고 공격 체인을 시작해야 한다.

안드로이드 기기 해킹을 방지하기 위해서는 취약점 패치가 발표된 즉시 즉시 보안 업데이트를 설치해야 안전할 수 있다고 구글은 강조한다.

---

▶데일리시큐 보안 웨비나 참가하기◀

-EDR 솔루션/엔드포인트 보안 웨비나 무료등록: 클릭
-2021년 3월 29일(월) 오후 2시~3시 개최

★정보보안 대표 미디어 데일리시큐!★