US Chip Manufacturer Qualcomm은 칩 및 오픈 소스 소프트웨어 내에서 취약성에 대한 상당수의 보안 패치를 출시했습니다. 이러한 움직임은 전 세계의 많은 Android 스마트 폰이 Qualcomm 칩을 활용하여 잠재적 인 사이버 공격의 주요 목표가되므로 중요합니다. 그러나 최종 사용자에게 이러한 패치를 적시에 전달하는 것은 여전히 중요한 요소입니다.
2025 년 6 월 보안 보고서에서 Qualcomm은 다양한 취약점을 다루는 총 18 개의 패치를 자세히 설명했습니다. 이 중 3 개는 특히 타겟팅 된 해커 공격에서 적극적으로 활용 된 것으로 여겨지 기 때문에 특히 관련이 있습니다. 이러한 특정 취약점은 제로 데이 익스플로잇으로 분류되므로 공격자가 개발자가 패치를 사용할 수 있기 전에 이러한 결함을 활용하고 있음을 의미합니다.
Google의 위협 분석 그룹 (TAG)에 따르면,이 세 가지 제로 데이 취약점은 모두 Qualcomm 칩 내에서 발견 된 Adreno 그래픽 프로세서 (GPU)에 영향을 미칩니다. 이 GPU는 삼성, Xiaomi 및 OnePlus와 같은 제조업체의 전 세계적으로 사용되는 스마트 폰에 통합됩니다.
Adreno GPU Micronode에 영향을 미치는 두 가지 취약점은 잘못된 승인에서 비롯되며, 이는 메모리 손상으로 이어질 수 있습니다. 이들은 CVSS 점수 8.6에 의해 반영된 매우 위험한 것으로 간주됩니다. 세 번째 취약점은 GPU 메모리에서 “자유 후 사용”오류로 설명됩니다. 이러한 유형의 오류는 더 이상 필요하지 않은 후에 메모리가 제대로 지워지지 않을 때 발생합니다. 잠재적으로 충돌이 발생하거나보고 된 인스턴스에서 Chrome 브라우저 내에서 Adreno GPU 드라이버를 사용하여 그래픽을 렌더링 할 때 메모리 손상이 발생합니다.
Qualcomm은 5 월 초에 영향을받는 모든 제조업체 에게이 세 가지 중요한 제로 데이 취약점에 대한 패치를 사전에 제공했습니다. 그럼에도 불구하고 스마트 폰 제조업체가 이러한 패치를 자체 장치 소프트웨어 업데이트에 통합하여 사용자에게 해제하기 전에 지연이 발생할 수 있습니다. Qualcomm의 보고서는 제조업체가“영향을받는 장치를 가능한 빨리 업데이트”할 것을 명시 적으로 촉구합니다. 사용자는 특정 장치의 패치 상태에 대해 문의하기 위해 스마트 폰 제조업체에 연락하는 것이 좋습니다.
장치 제조업체는 Android 기반 운영 체제를 관리하지만 일반적으로 설치된 칩의 펌웨어를 직접 제어하지 않습니다. 그들은 Qualcomm과 같은 칩 제조업체에 의존하여 먼저 필요한 보안 패치를 제공합니다. 이러한 패치를받은 후에 만 스마트 폰 제조업체는 해당 업데이트를 장치에 개발하고 제공 할 수 있습니다. 초기 패치의 칩 제조업체에 대한 이러한 의존성은 취약성의 창을 만들 수있어 안드로이드 스마트 폰을 해커의 매력적인 대상으로 만들 수 있습니다. 2021 년 Qualcomm 모뎀의 보안 결함이 수억 개의 장치에 영향을 미쳤을 때 주목할만한 예가 발생했으며, 필요한 업데이트가 영향을받는 대부분의 스마트 폰으로 롤아웃하는 데 몇 주에서 몇 달이 걸렸습니다.
