Towelroot, 요즘 이슈가 되고 있는 루팅 애플리케이션입니다. 이전의 framaroot와 같이 C로 코딩 된 익스플로잇을 사용하여 기기에 루트권한을 부여합니다. 이를 이용해, Knox Warranty를 깨뜨리지 않고도 루팅을 할 수 있는 새로운 방법이 생긴 셈이지만, 최근, 업데이트된 일부 기기에서는 잘되던 Towelroot가 작동하지 않습니다.
-----------Towelroot 패키지 사진------------
이 글은 Towelroot의 기기 루트권한 부여의 원리와, 최신 기기에서 Towelroot가 동작하지 않는 점을 중심으로 알려드리겠습니다.
최근, CVE-2014-3153 라는 보안 취약점이 발견되었습니다. 최신 리눅스 커널에 속하는 Linux-3.14.5 역시 이 취약점이 존재합니다.
본문 출처: https://security-tracker.debian.org/tracker/CVE-2014-3153
해당 보안 취약점이 패치되지 않은 모든 리눅스 커널 기반 기기들은 CVE-2014-3153 에 의해 악의적 애플리케이션에 의한 루트권한 탈취 및 이의 악용을 당할 가능성이 있습니다. 게다가, 현재 사용자들의 기기의 리눅스 커널 버전은 Linux-3.0,Linux-3.4 이기 때문에, 대부분의 기기가 이에 취약하다고 봐도 무방합니다.
이에, 커스텀 펌웨어 제작사인 Cyanogenmod의 github(소스 공개 서버)에는 해당 취약점을 패치한 커널 소스를 배포하고 있습니다.
삼성 역시 마찬가지입니다. 일부 유저들이 업데이트 이후 'Towelroot' 이 작동 불가능 하다는 피드백을 제작자에게 보내셨는데, 이는 최근, 업데이트를 통하여 커널소스에 해당 취약점 패치를 적용한 것으로 보입니다.
CVE-2014-3153 취약점을 이용한 Towelroot으로 기기의 간편한 루트권한 획득은 일부 유저들에게는 긍정적일 수는 있지만, 악의적인 해커들에 의해 사용자도 모르는 사이에 루트권한을 탈취, 기기가 악의적인 행동을 할 수 있으므로, 유저분들도 이를 너무 부정적으로만 보지 마시고, 제조사들의 보안 개선 노력으로 봐 주시면 될 것 같습니다 ㅎㅎ
모든 글의 원문은 제 블로그에서 보실 수 있습니다 : http://blog.naver.com/bestmjh47
written by bestmjh47.
이 포스트의 일부 또는 전체를 글쓴이의 동의 없이 무단으로 사용/복사 하는 것을 금지합니다.
