지난 6월 17일 중국 보안업체인 360휴대폰보안센터에서 삼성 갤럭시(Galaxy) S4에 존재하는 고 위협의 메시지 스푸핑 취약점을 발견했다고 공개했다.
 
악성 프로그램은 취약점을 이용해 백그라운드에서 요금 절취 메시지를 전송하거나 임의의 번호로 임의 내용의 메시지를 전송해 피싱을 진행할 수 있다는 것.
 
360휴대폰보안센터에서는 바로 삼성 측에 통보함과 동시에 새로운 버전의 360휴대폰호위병을 발표해 해당 취약점의 임시 해결방안을 제공하고 있다고 한다.
 
360휴대폰보안전문가의 분석에 의하면, “삼성 S4의 클라우드 백업 컴포넌트에서 데이터 발송자의 신분을 인증하지 않는 취약점이 존재한다”며 “악성 소프트웨어가 메시지 전송 및 메시지 저장 권한을 신청하지 않은 정황에서 직접 임의의 번호에 임의의 내용의 메시지를 전송할 수 있다. 그리고 취약점을 악용해 지인, 은행, 기관, 고객 서비스 등으로 위장해 피싱 메시지나 MMS를 전송하거나 읽지 않은 메시지로 저장할 수도 있다”고 설명했다.
 
S4 외에도 일부 삼성 '클라우드 백업' 컴포넌트가 추가된 삼성 S3 및 note2 등 휴대폰도 이번 취약점에 노출되어 있다고 전했다.
 
[뉴스 제공. 중국 보안정보 전문기업 씨엔시큐리티 / www.cnsec.co.kr]