안드로이드는 오픈 소스로 개발되고 있지만, 구글은 해마다 새로운 안드로이드 버전에 맞춰 빌드한 뒤 이를 제조사에 보냅니다. 보통 구글 안드로이드 빌드를 받은 제조사마다 제품 특성에 맞게 코드를 추가하지만, 이번에는 커널 수정에 따라 문제가 발생해 구글 프로젝트 제로 팀에서 우려를 표했습니다.
보안 취약점을 연구하는 구글 프로젝트 제로는 최근 게시물에서 삼성의 갤럭시 A50에서 메모리 손상을 일으키는 버그가 안드로이드의 문제가 아니라 삼성의 안드로이드 커널 변경에 따른 것으로 그 이유를 블로그 게시글을 통해 상세하게 설명했습니다.
삼성은 갤럭시 A50을 위한 안드로이드 커널의 자격 증명 구조에 보안 기능을 추가했습니다. 하지만 자격 증명 구조를 수정할 수 있도록 커널을 제어할 수 있으므로 공격자가 사용자 데이터를 읽거나 수정하는 것을 막지 못한다는 것입니다. 또한 삼성 PROCA(Process Authenticator) 보안 하위 시스템에 영향을 주는 버그도 발견됐다고 밝혔습니다.
구글 프로젝트 제로의 잰 혼은 삼성의 보호 매커니즘이 의미있는 보호 기능을 제공하지 않을 것이라면서 삼성 스마트폰에 맞춤화되지 않은 간단한 루팅 툴만 차단할 뿐이라고 지적했습니다. 삼성이 구글 프로젝트 제로의 분석을 어떻게 받아들일지 모르지만, 적어도 커널 변경에 대한 제조사들의 주의가 필요한 것은 분명해 보이는군요.