안드로이드 강좌

삼성과 LG 스마트폰 20초만에 뚫을 수 있는 Stagefright 변종 논란

T.B 2016. 3. 22. 20:12


일전에 자신이 사용중인 안드로이드 버전이 뭔지 조차 모르는 유저가 상당수다. 라는 말을 두고 '안드로이드 사용자 비하하고 무시하냐?' 는 항의를 받았다. 지금 6P를 쓰는 중인데 뭔 소리를 하는지도 모르겠으나


여튼, 무시하자는게 아니라 그만큼 '보안에 관심을 갖자, 안드로이드 OEMs도 출시만 하고 버리지 말고 SW 사후지원 잘하자.' 정도다. 그러나 안타까운 점은 현실이라는 것이다.


국내 매체, 언론에서 평소 같으면 잘만 인용 보도의 단골로 등장하는 소스, Engadget 에 올라온 'Stagefright exploit reliably attacks Android phones' 라는 기사다. 안드로이드 사용자들이 보안에 경각심을 갖지 않는 이유 중 하나가 바로 언론이다.


안드로이드 보안에 관해서는 이상하리 만큼 보도를 하지 않는데, 그런 것들이 국내 안드로이드 OEM 제조업체들에게는 도움이 되겠으나 '안드로이드를 쓰는 중인 소비자 너님 당사자' 에게는 하등 도움되지 않는다는게 팩트다.



내용을 정리하자면 'Metaphor' 라는 것이 새롭게 발견됐고 이는 Stagefright의 변종이다. 이 변종은 삼성전자, LG전자, HTC 스마트폰에 특화되어 20초만에 해킹할 수 있다.(갤럭시S5, G3, HTC One)


Stagefright는 잘 알다시피 피공격자(사용자)가 기기에 대해서 아무 동작을 하지 않고, 손도 대지 않아도 감염될 수 있다는 점에서 안티 애플러들이자 안드로이드 보안 전문가들이 'Goodbye Android'를 선언하게 만든 적이 있다.


Metaphor 또한 공격자가 동영상 링크가 포함된 메시지를 랜덤으로 배포하고, Metaphor는 피공격자 기기의 보안 취약점 유무까지 확인 분석(reliably attacks)하고 다시 제3의 피공격자에게 전달하는 방식이다. 즉, 한층 더 진화된 Stagefright다.



(3월 안드로이드 점유율 갱신과 버전별 증감 - 참고)


이 보안 취약점은 CVE-2015-3864(Mediaserver 라이브러리 컴포넌트 보안 취약점)을 악용한 것으로 2015년 10월 보안 패치에서 해결된 문제다.


그러나 여전히 킷캣 또는 롤리팝 기반(특히 중저가폰 신제품들도 롤리팝 기반에 마쉬멜로우의 기능들이 짜집기 되는 중이다.)이라는 점에서 많은 기기들이 감염됐을 것이고, 예상 감염 수치는 2.35억대다.


 T.B의 SNS 이야기 블로그의 모든 글은 저작권법의 보호를 받습니다. 어떠한 상업적인 이용도 허가하지 않으며, 이용(불펌)허락을 하지 않습니다.

▲ 사전협의 없이 본 콘텐츠(기사, 이미지)의 무단 도용, 전재 및 복제, 배포를 금합니다. 이를 어길 시 민, 형사상 책임을 질 수 있습니다.

▲ 비영리 SNS(트위터, 페이스북 등), 온라인 커뮤니티, 카페 게시판에서는 자유롭게 공유 가능합니다.


T.B의 SNS이야기 소식은 T.B를 팔로윙(@ph_TB) 하시면 실시간으로 트위터를 통해서 제공 받을 수 있습니다.

728x90
반응형