프랑스 화이트 해커인 Robert Baptiste가 모든 삼성 모바일 폰을 벽돌로 만들 수 있는 방법을 찾아냈다고 밝혔다.

Baptiste는 몇 달 전, 삼성 스마트폰을 구매해 분석해보기로 결심했다. 몇 시간의 테스트 후 그는 컨테이너에이전트(ContainerAgent) 애플리케이션에 보호되지 않은 리시버가 있음을 발견했다.

해커는 ContainerAgent 애플리케이션 버전 2.7.05001015에서 SwitcherBroadcastReceiver로 불리는 브로드캐스트 리시버가 존재함을 발견한 것이다.

해당 리시버는 디폴트로 활성화 및 추출이 가능하다. 리시버를 트리거하는 방법을 이해하기 위해 그는 구현을 분석했다. SwitcherBroadcastReceiver의 onRecieve 메소드를 살펴보면 이 리시버를 추론할 수 있다.

△com.samsung.android.knox.containeragent.LocalCommandReceiver.ACTION_COMMAND를 하나의 action으로 두면,

△그것은 com.samsung.android.knox.containeragent.LocalCommandReceiver.EXTRA_COMMAND_ID로 불리는 추가 정수 값을 확인한다. 이 추가 값은 1001과 1002라는 값을 가질 수 있다.

△android.intent.extra.user_handle라는 추가 정수 값을 확인한다.

전문가는 ACTION_COMMAND가 1001로 설정되면 여분의 user_handle 값을 매개 변수로 사용하여 immediateLock 메소드가 호출된다는 사실을 알게 되었다. 즉 Knox 사용자와 연관된 사용자 ID인 user_handle 값을 150으로 설정하면 Knox 컨테이너를 즉시 잠글 수 있다. Baptiste는 Knox 컨테이너를 잠그기 위한 최종 Intent를 만들 수 있었다.

그는 또한 ACTION_COMMAND를 1002로 설정하면 추가 user_handle 값을 매개 변수로 하여 switchToProfile 메소드를 호출할 수 있음을 발견했다. 그래서 user_handle 값을 0으로 설정하면 첫번째 사용자의 ID가 자동으로 런처의 첫번째 페이지로 전환된다.

Baptiste는 실행 프로그램의 첫번째 페이지로 전환할 최종 Intent를 만들 수 있었고, 해당 결함을 익스플로잇하기 위해 Locker 애플리케이션을 제작했다.

그가 개발한 PoC 코드는 매 초마다 두가지 Intent를 전송하고, 앱을 처음 열면 아이콘이 사라진다. 이로 인해 로컬 DoS 공격을 받아 장치가 작동하지 않게 된다. 사용자가 SecureFolder 앱을 열 때마다 컨테이너가 잠기고 폰을 사용하려고 할 때마다 런처의 첫번째 페이지로 바로 돌아오게 된다.

해당 취약점은 지난 3월 11일 삼성 보안팀에 보고되었으나 해당 이슈의 위험성이 거의 없다고 판단했다.

출처 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=50862