포스팅 내용

국내외 보안동향

조작된 멀티미디어 파일을 포함한 MMS를 통해 안드로이드 기기를 해킹할 수 있는 취약점 발견!

조작된 멀티미디어 파일을 포함한 MMS를 통해 안드로이드 기기를 해킹할 수 있는 취약점 발견!


최근 MMS(Multi-media Messaging Service, 멀티미디어 메시징 서비스) 만으로 사용자 안드로이드 휴대폰을 감염시킬 수 있는 취약점이 발견되어 약 9.5억 이상의 안드로이드 기기들이 영향을 받는 것으로 밝혀졌습니다. 



Stagefright 취약점


안드로이드가 PDF등의 멀티미디어 파일을 녹화하고 재생하는데 사용하는 멀티미디어 플레이백 라이브러리인 안드로이드 코어 컴포넌트 “Stagefright” 에 존재하는 취약점 입니다. 안드로이드 운영체제에는 문자메세지에 첨부된 MMS를 사용자가 보기 전에 미리 로드하는 기능이 있는데, 공격자가 이 기능을 이용하여 조작된 MMS 메시지를 전송하면, 사용자가 메시지를 열어보지 않아도 공격대상인 안드로이드 기기를 감염 시킬 수 있습니다.



영향받는 버전


안드로이드 2.2 ~ 5.1(최신버전)



해결방법


해당 취약점을 이용한 공격을 막기 위해서는, MMS를 안드로이드 운영체제가 받은 후, MMS를 확인하는 과정에서의 사용하는 Stagefright 라이브러리의 취약점이 해결되어야 합니다. 

따라서, MMS를 열어볼 때, 문제가 되는 라이브러리를 참조하지 않도록 MMS앱을 일시적으로 패치를 진행하거나, 단말기 제조사에서 해당 취약점 패치를 포함한 보안패치를 진행하는 것 외에는 아직까지 별다른 방법이 없는 상황입니다. 


해당 취약점에 관련하여 구글에서는 이미 해당 취약점에 관련된 패치를 개발하여 각 제조사에게 배포하였으나, 각 제조사에서 실제 사용자 휴대폰에 패치를 적용시키기 까지는 어느정도의 시간이 걸릴 것으로 예상되며, 현재까지 확인된 가장 신속한 임시대응책은 사용자가 수동으로 MMS 자동 수신 기능을 비활성화 시키는 방법입니다.


그럼 MMS 자동 수신 기능을 비활성화 시키는 방법에 대해 국내 사용자들이 가장 많이 사용하는 삼성과 LG 휴대폰, 그리고 구글 레퍼런스폰인 Nexus를 예시로 설명드리겠습니다.



※ 삼성휴대폰 (Galaxy Note4)

1. 문자메세지 화면에서 환경설정 - 설정을 클릭합니다.



2. 설정화면에서 멀티미디어 메세지(MMS)를 클릭합니다.



3. 멀티미디어 메시지(MMS) 화면에서 자동으로 가져오기 체크를 해제합니다.



※ LG휴대폰 (Optimus G Pro)

1. 문자메세지 화면에서 설정을 클릭합니다.




2. 설정 화면에서 멀티미디어 메세지 설정을 클릭합니다.



3. 멀티미디어 메세지 설정의 자동수신란의 체크를 해제합니다.









※ 넥서스 시리즈 (Nexus 5)
1. 행아웃 - 설정 - SMS를 클릭합니다. 



2. SMMS 자동수신 체크를 해제합니다.





위에서 설명드린 부분은 임시조치이며, 각 휴대폰 제조사에서 빠른 시간내에 MMS취약점에 대한 패치를 업데이트할 것으로 예상됩니다. 제조사에서 제공하는 패치가 업데이트되는대로 내용을 추가하도록 하겠습니다.





참고 :

http://thehackernews.com/2015/07/android-phone-hacking.html

http://android-developers.blogspot.kr/2013/10/getting-your-sms-apps-ready-for-kitkat.html

http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=23184




  1. 알약사용자 2015.08.23 10:48  수정/삭제  댓글쓰기

    갤럭시S1를 비롯한 구형 안드로이드 폰은 제조사에서 업데이트가 힘들다고 하던데...
    알약에서 차단기능이 들어가게 앱을 만들어주셨으면 좋겠습니다
    MMS 자동수신 해제라는 기능이 없어서요

    • 알약(Alyac) 2015.08.26 14:01 신고  수정/삭제

      안녕하세요. 알약입니다.
      말씀하신것처럼 갤럭시S1과 같은 구형안드로이드폰의 경우, 환경설정에서 MMS자동수신 해제 기능을 제공하고 있지 않습니다. 제조사의 패치가 어려운 구형폰이기 때문에 행아웃과 같은 SMS전용앱을 하나 설치하시고, 해당앱에서 제공하는 MMS환경설정 기능을 사용해 기능을 비활성화시키시면 됩니다. 구글이 제공하는 행아웃 메시지앱의 경우는 stagefright 취약점을 방어하는 전용기능을 제공하기 합니다. 감사합니다.

  2. 2015.09.25 11:17  수정/삭제  댓글쓰기

    비밀댓글입니다

    • 알약(Alyac) 2015.10.07 13:40 신고  수정/삭제

      안녕하세요 알약입니다. Stagefright 취약점을 이용한 공격을 당했을 경우, 안드로이드 기기 권한을 탈취하며, 원격으로 카메라, 마이크 등에 접근하여 휴대폰에 저장된 각종 개인정보들이 유출될 수 있습니다. 감사합니다.

티스토리 방명록 작성
name password homepage