마이크로소프트, 40억 개 이상의 다운로드 파일에 영향을 미치는 새로운 안드로이드 보안 결함 발견

마이크로소프트가 안드로이드 사용자와 개발자에게 구글 플레이 스토어의 안드로이드 앱 다수에서 발견된 취약성 패턴에 대해 경고했다. 최근 보고서에 따르면 해당 취약점은 전 세계 40억 개 이상의 설치 파일에 영향을 미칠 가능성이 있는 것으로 나타났다.

마이크로소프트는 취약점에 영향을 받는 앱 중 가장 설치 수가 많은 두 개의 앱을 공개했다. 하나는 5억 회 이상 설치된 WPS Office 앱이며, 다른 하나는 10억 회 이상 설치된 샤오미의 File Manager 앱이다. 두 회사는 올해 2월에 해당 사실을 통보받은 후 문제를 해결했다.

보고서는 합계 설치 횟수가 5억 회 이상에 달하는 다른 많은 앱들도 영향을 받았을 가능성이 있다고 설명했지만, 구체적으로 이름이 언급되지는 않았다.

‘더티 스트림(Dirty Stream)’이라고 부르는 해당 보안 취약점은 앱이 정보를 공유할 수 있도록 하는 콘텐츠 공급자 구성 요소에서 발견되었으며, 악의적인 공격자가 해당 구성 요소의 결함을 통해 앱을 제어하고 사용자 토큰에 액세스할 위험이 있다. 5월 1일 발표에서 마이크로소프트 전문가들이 설명한 바와 같이 결과는 애플리케이션이 구성 요소를 구현하는 방식에 따라 달라질 수 있다.

구글은 마이크로소프트와 협력해 해당 취약점을 공개했으며, 안드로이드 스튜디오 플랫폼에 개발자를 위한 보안 위험 보고서를 공유해 향후 취약점을 방지하고 현재의 취약점을 수정하는 방법에 대해 자세한 정보와 조언을 제공했다.

마이크로소프트의 이번 발표는 영향을 받을 가능성이 있는 수십억 명의 사용자에게 경고를 보내는 동시에 다른 대기업과 앱 개발자들에게 업계 전반에 걸쳐 더 나은 앱 보안성을 제공하기 위해 협력할 것을 요청하는 역할을 했다. 마이크로소프트는 성명에서 이번 발표는 앱 사용자와 개발자에게 지침을 제공할 뿐만 아니라 “모두의 보안성을 향상하기 위해 협업이 중요함을 설명하기 위한 것”이라고 밝혔다.

마이크로소프트의 보고서에는 안드로이드 사용자를 위한 지침도 포함되었으며, 가장 중요한 조언은 현재 최신 버전의 앱이 설치되어 있는지 확인하라는 것이다.

또한 마이크로소프트는 샤오미의 File Manager 앱과 관련된 사례 연구를 통해 해당 문제에 대한 실제 사례도 공유했으며, “해당 애플리케이션은 기기의 외부 스토리지에 대한 전체 액세스 권한 외에도 다른 애플리케이션 설치 권한을 포함해 많은 권한을 요청하고 있다.”라며 악성 앱이 심각한 시나리오에서 어떻게 작동할 수 있는지를 설명했다.

포브스는 사용자 입장에서 할 수 있는 일은 정보를 계속 확인하고 앱을 최신 버전으로 유지하고 마이크로소프트의 권장 사항을 따르는 것밖에 없다며 “사용자는 잠재적인 악성 애플리케이션을 피하기 위해 신뢰할 수 있는 출처의 애플리케이션만 설치해야 한다.”라고 보도했다.