인도 컴퓨터 긴급 대응 기관(CERT-In)은 구글이 Dolby 오디오 소프트웨어와 관련된 심각한 취약점을 패치한 후 Android 스마트폰 사용자에게 최신 시스템 업데이트를 긴급히 설치하도록 요청하는 사이버 보안 경고를 발령했습니다.
CERT-In에 따르면 이 취약점은 많은 안드로이드 기기에 널리 통합된 구성 요소인 Dolby Digital Plus (DD+) Unified Decoder 해독기에 존재합니다.
이 문제는 2025년 10월부터 보안 연구원들에 의해 발견되었으며 원격으로 악용될 가능성이 있어 위험도가 높은 것으로 평가됩니다.
공식 권고에서 CERT-In은 취약점이 공격자가 영향을 받는 장치에 불법적으로 액세스할 수 있도록 허용하며, 일부 경우에는 사용자가 어떤 조작도 할 필요 없이 원격으로 명령을 실행할 수 있다고 밝혔습니다.
이는 휴대폰이 은밀하게 침입되어 작동이 중단되거나 장치에 저장된 데이터가 유출되거나 손상될 수 있음을 의미합니다.
Google은 1월 Android 보안 뉴스레터에서 사고를 확인하고 보안 업데이트 패키지에서 패치를 출시했습니다. CERT-In은 Dolby Decoder가 Android 생태계에서 일반적인 구성 요소이기 때문에 개인에서 조직에 이르기까지 모든 Android 사용자에게 이 권장 사항이 적용된다고 강조합니다.
기술적 원인에 대해 더 자세히 설명하면서 돌비는 DD+ Unified Decoder 해독기의 일부 특정 버전, 즉 버전 4.5 및 4.13은 특정 음향 흐름을 처리할 때 허용된 메모리 영역을 초과하여 데이터를 기록할 수 있다고 밝혔습니다.
이 메모리 과잉 오류는 장치 제어를 악용하여 일부 Google Pixel 모델과 다른 많은 Android 휴대폰에 영향을 미칠 수 있습니다.
취약점을 발견한 Google의 Project Zero 팀의 보안 연구원들은 사고의 가장 위험한 점은 공격자가 사용자가 링크를 클릭하거나 악성 멀티미디어 파일을 열도록 유도할 필요가 없다는 것이라고 말했습니다.
탐색은 완전히 자동으로 진행될 수 있어 사용자가 장치가 공격받고 있다는 것을 인식하기가 매우 어렵습니다.
돌비는 기록된 사례에서 이 오류가 주로 멀티미디어 애플리케이션을 멈추게 하거나 자동으로 다시 시작하게 만들고 광범위하게 악용되는 징후를 발견하지 못했다고 밝혔습니다.
그러나 CERT-In은 사용자에게 방심하지 말라고 경고합니다. 왜냐하면 그러한 취약점은 기술 정보가 공개된 후 해커에 의해 빠르게 악용되기 때문입니다.
위험을 최소화하기 위해 CERT-In은 사용자에게 시스템 설치 항목을 통해 업데이트를 확인하고 제조업체에서 제공하는 최신 소프트웨어 버전을 즉시 설치하도록 권장합니다.
동시에 사용자는 중요한 보안 패치가 미래에 적시에 설치되도록 자동 업데이트 모드를 켜야 합니다.
