이미지 출처 | 픽스내핑
구글이 최근 확인된 픽스내핑(Pixnapping)이라는 새로운 공격 기법에 대항하는 패치를 배포하기 시작했습니다.
픽스내핑은 앱 간 통신을 가능하게 하는 안드로이드 인텐트(Intent) 시스템을 악성 앱에서 악용해 이용자 정보를 추출하는 방식입니다.
악의적인 앱이 안드로이드 인텐트 시스템을 통해 렌더링을 위한 민감한 정보를 요청한 다음, 표적 앱의 렌더링 결과를 이용해 사용자에게 보이지 않는 투명 화면으로 덮어씌울 수 있는 민감한 픽셀을 추출합니다.
이후 악성 앱이 수집한 정보는 GPU로 렌더링된 시각적 정보를 훔칠 수 있게 하는 또 다른 취약점인 GPU.zip 같은 사이드 채널을 통해 가져오도록 설계됐습니다.
픽스내핑을 찾아낸 7명의 연구원인 픽셀 9을 비롯한 그 이전 여러 픽셀 장치에서 취약점을 재현했고, 갤럭시 S25 역시 같은 취약점을 확인했습니다.
구글은 픽스내핑에 대한 보안 패치를 배포 중이지만, 이를 우회하는 방법을 확인함에 따라 12월 보안 업데이트에서 추가 패치를 배포할 예정입니다.
글쓴이 | Editor_B
언제나 기분 좋은 소식을 전하고 싶습니다.
news@techg.kr
언제나 기분 좋은 소식을 전하고 싶습니다.
news@techg.kr
