| page.title=Android 보안 권고사항 — 2016년 3월 18일 |
| @jd:body |
| <!-- |
| Copyright 2016 The Android Open Source Project |
| Licensed under the Apache License, Version 2.0 (the "License"); |
| you may not use this file except in compliance with the License. |
| You may obtain a copy of the License at |
| http://www.apache.org/licenses/LICENSE-2.0 |
| Unless required by applicable law or agreed to in writing, software |
| distributed under the License is distributed on an "AS IS" BASIS, |
| WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. |
| See the License for the specific language governing permissions and |
| limitations under the License. |
| --> |
| |
| <div id="qv-wrapper"> |
| <div id="qv"> |
| <h2>이 문서에서 다루는 내용</h2> |
| <ol id="auto-toc"> |
| </ol> |
| </div> |
| </div> |
| |
| <p><em>2016년 3월 18일 게시됨</em></p> |
| |
| <p>Android 보안 권고사항은 Nexus 보안 게시판 내용을 보완합니다. |
| 보안 권고사항을 자세히 알아보려면 <a href="index.html">요약 페이지</a>를 참조하세요.</p> |
| |
| <h2 id="summary">요약</h2> |
| |
| <p>Google은 일부 Android 기기의 커널에 패치가 설치되지 않은 |
| 로컬 권한 승격 취약성(<a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1805">CVE-2015-1805</a>)을 사용하는 루팅 애플리케이션이 있음을 |
| 감지했습니다. |
| 이 애플리케이션이 기기에 영향을 미치려면 사용자가 먼저 설치해야 합니다. Google은 |
| 이미 <a href="https://support.google.com/accounts/answer/2812853">앱 인증</a>을 사용하여 Google Play와 Google Play 외부 모두에서 |
| 이러한 취약성을 이용하여 루팅 애플리케이션을 설치하지 못하도록 차단하고 있으며 |
| 이 특정 취약성을 이용하는 애플리케이션을 감지하도록 시스템을 |
| 업데이트했습니다.</p> |
| |
| <p>이 문제의 최종 대응책으로 2016년 3월 16일 파트너에게 |
| 패치를 제공했습니다. Nexus 업데이트를 준비하고 있으며 |
| 며칠 이내에 배포될 것입니다. 이 문제 관련 소스 코드 패치가 |
| Android 오픈소스 프로젝트(AOSP) 저장소에 배포되었습니다.</p> |
| |
| <h3 id="background">배경</h3> |
| |
| <p>업스트림 Linux 커널에서 알려진 문제이며 2014년 4월 수정되었지만, |
| 2015년 2월 2일에야 보안 수정사항으로 표시되어 |
| <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1805">CVE-2015-1805</a>가 |
| 할당되었습니다. 2016년 2월 19일 C0RE팀에서 |
| 이 문제가 Android에서 악용될 수 있음을 Google에 알렸고 |
| 패치가 개발되어 다음 월간 정기 업데이트에 포함될 예정입니다.</p> |
| |
| <p>2016년 3월 15일 Google은 이 문제가 |
| Nexus 5 기기에서 악용되었다는 내용의 Zimperium 보고서를 |
| 접수했습니다. Google은 Nexus 5 및 Nexus 6에서 이 기기 취약성을 악용하여 |
| 기기 사용자에게 루트 권한을 제공하는 공개적으로 사용 가능한 |
| 루팅 애플리케이션의 존재를 확인했습니다.</p> |
| |
| <p>이 문제는 로컬 권한 승격 및 임의의 코드 실행 가능성으로 로컬 기기가 영구적으로 손상될 수 있으므로 <a href="{@docRoot}security/overview/updates-resources.html#severity">심각도 심각의 문제</a>로 평가됩니다.</p> |
| |
| <h3 id="scope">범위</h3> |
| |
| |
| <p>이 권고사항은 모든 Nexus 기기를 포함하여 패치가 설치되지 않은 |
| 커널 버전 3.4, 3.10, 3.14의 모든 Android 기기에 적용됩니다. Linux 커널 버전 |
| 3.18 이상을 사용하는 Android 기기는 취약하지 않습니다.</p> |
| |
| <h3 id="mitigations">완화</h3> |
| |
| |
| <p>다음은 사용자가 이 문제로 인해 영향을 받을 수 있는 가능성을 줄이는 |
| 완화 방법입니다. </p> |
| |
| <ul> |
| <li> Google Play 내부 및 외부 모두에서 이 취약성을 악용하려 하는 것으로 |
| Google에서 확인한 애플리케이션을 설치하지 못하도록 차단하기 위해 |
| 앱 인증이 업데이트되었습니다. |
| <li> Google Play는 이 문제를 악용하려는 애플리케이션을 포함하여 |
| 루팅 애플리케이션을 허용하지 않습니다. |
| <li> <a href="https://support.google.com/nexus/answer/4457705">Linux 커널 버전 3.18</a> 이상을 |
| 사용하는 Android 기기는 취약하지 않습니다. |
| </li></li></li></ul> |
| |
| <h3 id="acknowledgements">사사</h3> |
| |
| |
| <p>Android는 이 권고사항을 준비하느라 수고해주신 |
| <a href="http://c0reteam.org/">C0RE팀</a> 및 <a href="https://www.zimperium.com/">Zimperium</a>에 |
| 감사드립니다.</p> |
| |
| <h3 id="suggested_actions">권장 조치사항</h3> |
| |
| |
| <p>Android는 모든 사용자가 사용 가능한 경우 업데이트를 기기에 수락할 것을 권장합니다.</p> |
| |
| <h3 id="fixes">수정</h3> |
| |
| |
| <p>Google은 AOSP 저장소에 여러 커널 버전으로 수정 방법을 배포했습니다. |
| Android 파트너에게 이 수정사항을 알렸으며 이를 적용하는 것이 좋습니다. 추가 업데이트가 필요한 경우 Android에서 ASOP에 직접 게시합니다.</p> |
| |
| <table> |
| <tr> |
| <th>커널 버전</th> |
| <th>패치</th> |
| </tr> |
| <tr> |
| <td>3.4</td> |
| <td><a href="https://android.googlesource.com/kernel/common/+/f7ebfe91b806501808413c8473a300dff58ddbb5">AOSP 패치</a></td> |
| </tr> |
| <tr> |
| <td>3.10</td> |
| <td><a href="https://android.googlesource.com/kernel/common/+/4a5a45669796c5b4617109182e25b321f9f00beb">AOSP 패치</a></td> |
| </tr> |
| <tr> |
| <td>3.14</td> |
| <td><a href="https://android.googlesource.com/kernel/common/+/bf010e99c9bc48002f6bfa1ad801a59bf996270f">AOSP 패치</a></td> |
| </tr> |
| <tr> |
| <td>3.18 이상</td> |
| <td>공개 Linux 커널에 패치가 설치됨</td> |
| </tr> |
| </table> |
| |
| |
| <h2 id="common_questions_and_answers">일반적인 질문 및 답변</h2> |
| |
| |
| <p><strong>1. 무엇이 문제인가요?</strong></p> |
| |
| <p>커널의 권한 승격 취약성으로 인해 로컬 악성 애플리케이션이 |
| 커널 내에서 임의의 코드를 실행할 수 있습니다. 이 문제는 |
| 영구적인 로컬 기기 손상의 가능성으로 인해 심각도 심각으로 |
| 평가되며 기기는 운영체제를 최신 버전으로 업데이트하여 수리를 |
| 해야 할 수 있습니다.</p> |
| |
| <p><strong>2. 공격자는 어떻게 이 문제를 악용하려고 시도하나요?</strong></p> |
| |
| <p>이 문제를 악용하려고 시도하는 애플리케이션을 설치하는 사용자에게 |
| 문제가 발생합니다. 루팅 애플리케이션(예: 이 문제를 악용하려 하는 애플리케이션)은 |
| Google Play에서 허용되지 않으며, Google은 앱 인증을 통해 |
| Google Play 외부에 이 앱이 설치되지 않도록 차단합니다. 공격자는 |
| 사용자가 해당 애플리케이션을 수동으로 설치하도록 |
| 설득하려고 할 것입니다.</p> |
| |
| <p><strong>3. 어떤 기기가 영향을 받을 수 있나요?</strong></p> |
| |
| <p>Google에서 이러한 악용은 Nexus 5 및 6에서 발생한다고 확인했지만, |
| 패치를 설치하지 않은 모든 Android 버전은 취약성이 있습니다.</p> |
| |
| <p><strong>4. Google에서 이러한 취약성이 악용당하는 증거를 확인했나요?</strong></p> |
| |
| <p>예. Google은 공개적으로 사용할 수 있는 루팅 도구를 사용하여 이러한 취약성이 Nexus 5에서 |
| 악용당하는 증거를 확인했습니다. Google에서 '악성'으로 분류할 만한 악용은 |
| 발견하지 못했습니다.</p> |
| |
| <p><strong>5. 이 문제를 어떻게 해결할 계획인가요?</strong></p> |
| |
| <p><a href="https://static.googleusercontent.com/media/source.android.com/en//security/reports/Android_WhitePaper_Final_02092016.pdf"> |
| Google Play</a>는 앱이 이 문제를 악용하지 못하도록 |
| 차단합니다. 마찬가지로 앱 인증이 Google Play 외부에서 이 문제를 악용하려고 |
| 시도하는 앱을 설치하지 못하도록 차단합니다. 업데이트를 |
| 사용할 수 있게 되면 Google Nexus 기기에도 패치가 설치될 것이며 |
| 유사한 업데이트를 배포할 수 있도록 Android 파트너에게 알립니다.</p> |
| |
| <p><strong>6. 이 문제의 해결 방법을 포함하는 기기를 사용 중인지 확인하려면 어떻게 하나요?</strong></p> |
| |
| <p>Android에는 기기가 이 문제에 취약하지 않음을 파트너에게 알릴 수 있는 |
| 두 개의 옵션이 있습니다. 2016년 3월 18일의 보안 패치 수준인 |
| Android 기기는 취약하지 않습니다. 2016년 4월 2일 이후의 |
| 보안 패치 수준인 Android 기기는 이 문제에 취약하지 않습니다. 보안 패치 |
| 수준을 확인하는 방법의 안내는 |
| <a href="https://support.google.com/nexus/answer/4457705">이 도움말</a>을 참조하세요.</p> |
| |
| <h2 id="revisions">버전</h2> |
| |
| |
| <ul> |
| <li> 2016년 3월 18일: 권고사항 게시됨 |
| </li></ul> |