Home » » LineageOS – 해커, 패치되지 않은 취약점을 통해 인기 있는 Android 사용자 지정 ROM 침해

LineageOS – 해커, 패치되지 않은 취약점을 통해 인기 있는 Android 사용자 지정 ROM 침해

모든 비즈니스, OS, 장치 및 기술은 지속적인 공격 위협을 받고 있습니다. 악성코드뿐만 아니라 해커가 회사 데이터를 훔치기 위해 악용할 수 있는 다른 사이버 보안 위협 및 네트워크 취약성이 있습니다. 패치되지 않은 취약점 은 모든 비즈니스, OS에 가장 중요한 위험입니다. 따라서 이러한 위협으로부터 보안을 유지하려면 시스템을 계속 업데이트해야 합니다.

해커들은 이러한 취약점을 악용하여 LineageOS를 공격했습니다. 회사는 트윗에서 이를 인정하고 뉴스가 사실이라고 말했지만 해커가 해를 입히기 전에 공격이 감지되었다고까지 말했습니다.

리니지OS란?

2016년 12월 24일에 공식 출시된 맞춤형 ROM CyanogenMod의 후속 제품인 Lineage OS는 무료 오픈 소스 운영 체제입니다. OS는 구글 안드로이드 플랫폼을 기반으로 하며 스마트폰, 셋톱박스, 태블릿에서 사용 가능합니다.

개발 빌드는 170만 개 이상의 활성 설치가 있는 109개 모델에 사용할 수 있습니다. 지난달 개발자들은 안드로이드 10 기반의 리니지OS 17.1 을 출시했다.

위반은 언제 발생했습니까?

트윗에서 회사는 토요일 밤에 침해가 발생했다고 인정했습니다. 그러나 적시에 감지되었습니다. 따라서 피해가 발견되지 않았습니다.
이 외에도 운영 체제, OS 빌드, 서명 키 등이 영향을 받지 않았습니다.

회사에서 뭐라고 하던가요?

회사는 "2020년 5월 2일 오후 8시(태평양 표준시)경 공격자가 솔트스택 마스터의 CVE(공통 취약점 및 노출)를 사용하여 우리 인프라에 액세스했습니다"라고 말했습니다.

Around 8PM PST on May 2nd, 2020 an attacker used a CVE in our saltstack master to gain access to our infrastructure.

We are able to verify that:
– Signing keys are unaffected.
– Builds are unaffected.
– Source code is unaffected.

See https://t.co/85fvp6Gj2h for more info.

— LineageOS (@LineageAndroid) May 3, 2020


LineageOS는 "우리는 서명 키가 영향을 받지 않았는지, 빌드가 영향을 받지 않았는지, 소스 코드가 영향을 받지 않았는지 확인할 수 있습니다."라고 덧붙였습니다.

해킹은 어떻게 이루어졌나요?

해커들은 솔트로 알려진 솔트스택에서 제공하는 오픈 소스 프레임워크의 패치되지 않은 취약점을 이용해 LineageOS를 악용했습니다.
Salt는 클라우드 서버 설정, 내부 네트워크 또는 데이터 센터 내부의 서버를 자동화 및 관리하는 데 사용됩니다.

어떤 패치가 적용되지 않은 두 가지 취약점이 악용되었습니까?

패치되지 않은 두 가지 취약점은 다음과 같습니다.

CVE-2020-11651(인증 우회)
CVE-2020-11652(디렉토리 탐색)

이 두 가지가 결합되면 공격자가 로그인 절차를 우회하고 Salt 마스터 서버에서 코드를 실행하여 인터넷에 노출될 수 있습니다.
현재 6,000개의 Salt 서버가 온라인에 노출되어 있으며 패치가 적용되지 않으면 이 취약점을 악용할 수 있습니다.

LineageOS를 타겟팅하는 이유

이 오픈 소스 OS는 모바일 장치의 수명과 기능을 모두 연장하므로 20개 이상의 제조업체가 오픈 소스 커뮤니티에 연결되어 있습니다. 이를 보면 해커들이 LioneageOS를 표적으로 삼았다.

이러한 공격자들은 해킹된 서버에 백도어를 설치했을 뿐만 아니라 암호화폐 채굴기를 배치했습니다.

이 모든 것이 이 공격을 두 번째 주요 운영 체제 해킹으로 만듭니다. 이러한 공격을 완전히 차단하는 것은 불가능합니다. 그러므로 우리는 우리를 둘러싼 모든 것에 주의를 기울일 필요가 없습니다.
해커가 얼마나 교묘해졌는지 알게 된 후, 우리가 현자인지 아닌지 걱정되기 시작합니다. 같은 질문이 마음입니까? 예, 마음을 진정시키고 안전을 유지하기 위해 무엇을 하고 있습니까? 경험을 공유하십시오.


Leave a Comment

페이스북 스토리 만드는 방법

페이스북 스토리 만드는 방법

페이스북 스토리는 만드는 재미가 있습니다. 안드로이드 기기와 컴퓨터에서 스토리를 만드는 방법을 소개합니다.

파이어폭스와 크롬에서 비디오 자동 재생 끄기

파이어폭스와 크롬에서 비디오 자동 재생 끄기

이 튜토리얼을 통해 Google Chrome 및 Mozilla Firefox에서 삽입된 비디오 자동 재생 기능을 비활성화하는 방법을 알아보세요.

갤럭시 탭 S8이 켜지지 않을 때: 해결 방법

갤럭시 탭 S8이 켜지지 않을 때: 해결 방법

삼성 갤럭시 탭 A가 검은 화면에 멈추고 전원이 켜지지 않는 문제를 해결합니다.

아마존 파이어에서 음악 및 비디오 삭제하는 방법

아마존 파이어에서 음악 및 비디오 삭제하는 방법

아마존 파이어 및 파이어 HD 태블릿에서 음악 및 비디오를 삭제하여 공간을 확보하고, 정리를 하거나 성능을 향상시키는 방법을 지금 읽어보세요.

아마존 파이어: 이메일 계정 추가 및 삭제 방법

아마존 파이어: 이메일 계정 추가 및 삭제 방법

아마존 파이어 태블릿에서 이메일 계정을 추가하거나 삭제하는 방법을 찾고 계신가요? 우리의 포괄적인 가이드가 단계별로 과정을 안내해 드립니다. 좋아하는 장치에서 이메일 계정을 간편하게 관리하세요. 이 꼭 읽어야 할 튜토리얼을 놓치지 마세요!

안드로이드: 앱이 시작 시 실행되지 않도록 방지하기

안드로이드: 앱이 시작 시 실행되지 않도록 방지하기

안드로이드 기기에서 앱이 시작 시 자동으로 실행되지 않도록 영구적으로 방지하는 두 가지 솔루션을 보여주는 튜토리얼입니다.

안드로이드: 문자 메시지 전달하는 방법

안드로이드: 문자 메시지 전달하는 방법

이 튜토리얼은 Google 메시징 앱을 사용하여 안드로이드 기기에서 문자 메시지를 전달하는 방법을 보여줍니다.

아마존 파이어: APK 파일을 통해 구글 크롬 설치하기

아마존 파이어: APK 파일을 통해 구글 크롬 설치하기

아마존 파이어에서 구글 크롬을 설치하고 싶으신가요? 킨들 기기에서 APK 파일을 통해 구글 크롬 설치하는 방법을 알아보세요.

안드로이드: 간단한 단계로 자동 수정 비활성화하는 방법

안드로이드: 간단한 단계로 자동 수정 비활성화하는 방법

안드로이드 OS에서 맞춤법 검사 기능을 사용하거나 비활성화하는 방법.

내 전화기 또는 태블릿과 호환되는 충전기를 사용할 수 있나요?

내 전화기 또는 태블릿과 호환되는 충전기를 사용할 수 있나요?

다른 장치의 충전기를 내 전화기나 태블릿에서 사용할 수 있는지 궁금하신가요? 이 유익한 포스트에는 몇 가지 답변이 있습니다.