: TB의 SNS 이야기 :: NorthBit 삼성과 LG 스마트폰 20초만에 뚫을 수 있는 Metaphor 소스 깃허브 배포



2015년, 안티-애플러들이자 안드로이드 보안 전문가들이 'Goodbye Android'를 선언하게 했던 Stagefright 라고 들어는 봤을 것이다. Stagefright 는 구글 조차 롤리팝에서 해결하지 못했고, 마쉬멜로우로 패스했다. 즉, 마쉬멜로우 이하 버전은 여전히 Stagefright 위험에 노출되어 있다는게 팩트다.


지난 3월 22일 Metaphor라 명명된 Stagefright 변종이 등장했다. 삼성전자, LG전자, HTC 스마트폰에 특화되어 20초만에 해킹할 수 있다. 피공격자 기기의 보안 취약점 유무까지 확인 분석(reliably attacks)하고 다시 제3의 피공격자에게 전달하는 한층 더 진화된 Stagefright다.


Metaphor 취약점을 최초로 지적한 NorthBit Advanced Software 에서 소스 코드를 공개했다. NorthBit는 2억 3천 5백만대의 기기들이 감염된 것으로 집계했으며 그 대상은 안드로이드 롤리팝 5.0 또는 5.1 이다. 물론 그 이하 버전의 기기들을 두 말할 필요도 없다.


CVE-2015-3864 보안 취약점은 2015년 9월 넥서스 보안 업데이트를 통해서 패치됐고 안드로이드 6.0 또는 이상 기기들에게는 영향을 주지 않으며 시아노젠모드(CyanogenMod), 옴니롬(OmniROm) 5.1 빌드 이상 기기들에게도 영향을 주지 않는다.


지적하고 싶은 것은 이거다. "우리가 왜 안드로이드는 구글 레퍼런스인 넥서스를 써야 하나?" 에 관한 것이다.


Source: XDA Developer


 불펌 제보 받습니다. 댓글로 남겨주시면 감사하겠습니다.

 비영리로 운영중인 'T.B의 SNS 이야기' 블로그의 모든 글은 저작권법의 보호를 받습니다. 어떠한 상업적인 이용도 허가하지 않으며, 이용(불펌)허락을 하지 않습니다.

▲ 사전협의 없이 본 콘텐츠(기사, 이미지)의 무단 도용, 전재 및 복제, 배포를 금합니다. 이를 어길 시 민, 형사상 책임을 질 수 있습니다.


T.B의 SNS이야기(http://ryueyes11.tistory.com/)소식은 T.B를 팔로윙(@ph_TB) 하시면 실시간으로 트위터를 통해서 제공 받을 수 있습니다.


Posted by T.B

댓글을 달아 주세요

  1. BlogIcon 원이sparky 2016.09.22 01:40 신고  댓글주소  수정/삭제  댓글쓰기

    Stagefright detector 를 갤럭시 S5 마시멜로에서 돌려도... 2016년 보안이 아직 해결이 안되서, Critical 12개, High 37개, Moderate 6개... 진짜 말씀 처럼 레퍼런스 폰 아니곤 답이 없네요...