포스팅 내용

국내외 보안동향

Stagefright 변종 “Metaphor”, 수 백만 대의 삼성, 엘지, HTC 폰들 위험에 빠트려

Stagefright 변종 “Metaphor”, 수 백만 대의 삼성, 엘지, HTC 폰들 위험에 빠트려

STAGEFRIGHT VARIANT ‘METAPHOR’ PUTS MILLIONS OF SAMSUNG, LG AND HTC PHONES AT RISK


수 백만대의 안드로이드 기기 사용자들을 감염시킬 수 있는 Metaphor 익스플로잇이 공개되었습니다. 이 취약점을 이용하면 삼성, 엘지 HTC 폰을 단 20초안에 제어할 수 있습니다. 


Metaphor 은 이스라엘 보안회사 Northbit이 발견한 취약점으로, Stagefright 취약점과 관련있는 것으로 나타났습니다. 이 취약점에 영향을 받는 기종은 Nexus5, LG G3, HTC One, Sansung Galaxy S5 헤드셋입니다. 뿐만 아니라 안드로이드 2.2~4.0, 5.0, 5.1을 사용하는 기기들도 Metaphor 취약점에 영향을 받는다고 밝혔습니다. 



* Stagefright 취약점 관련 포스팅 보러가기


 ▶ 조작된 멀티미디어 파일을 포함한 MMS를 통해 안드로이드 기기를 해킹할 수 있는 취약점 발견!

 ▶ MMS가 Stagefright의 유일한 공격 벡터가 아니었다 

 ▶ 불완전한 Stagefright 보안 패치, MMS 공격에 아직도 취약해 

 ▶ Zimperium, 안드로이드 Stagefright 익스플로잇 코드 공개

 ▶ Stagefright Bug 2.0 발견 및 패치  

 ▶ 구글, 또 다른 Mediaserver 취약점 패치



Metaphor은 사용자에게 비디오를 호스팅 하는 링크가 포함된 메세지를 통하여 유포됩니다. 사용자가 이 링크를 클릭하면, 비디오 플레이어가 충돌을 일으키며 재시작됩니다. 재시작 되면서 스마트폰의 하드웨어, 소프트웨어와 관련된 정보들이 공격자에게 전송되며, 이러한 정보들을 기반으로 공격자는 해당 디바이스에 취약점 존재여부를 확인할 수 있습니다. 


이후, 악성코드가 포함된 새로운 비디오 링크가 사용자에게 전달되는데, 이 링크를 클릭하면 모바일 브라우저의 취약점이 악용되면서 공격자가 사용자의 스마트폰을 제어할 수 있도록 됩니다. 


Metaphor은 안드로이드 Mediaserver 라이브러리 컴포넌트의 결점인 CVE-2015-3864를 악용합니다. 

Stagefright 취약점은 작년 7월 처음 발견되었으며, 처음 발견된 이후 지금까지 구글은 Mediaserver에 대하여 24회 이상 패치하였습니다. 지난주에도 구글은 Stagefright 취약점을 수정하는 두개의 크리티컬 패치를 발표하였습니다. 


NorBit은 안드로이드 Mediaserver 컴포넌트에서 ASLR을 우회하는 방법을 찾았다고 말했습니다. ASLR을 뚫기 위해서는 기기에 대한 정보가 필요한데, 동일한 취약점을 사용하여 임의의 포인터를 획득하여 브라우저로 유출 된 정보를 열람하고, ASLR을 우회하기 위한 정보를 모을 수 있게 되는 것이라고 밝혔습니다. 


또한 너비, 높이, 기간 설정을 포함한 <video> 태그를 사용하여 목표 폰으로 보낸 미디어 파일 내 암호화 된 JavaScript Metadata를 실행할 수 있다고 말했습니다. 그 후 Mediaserver가 해당 미디어 파일 내의 메타데이터를 웹 브라우저에 파싱 및 전송함으로써 공격자가 사용자 휴대폰을 제어 할 수 있게 되는것입니다. 


현재까지 약 2.35억대의 기기가 해당 취약점에 취약할 것으로 추산하였습니다. 

이에 관련하여 구글과 기기 제조사들은 별다른 공지를 내놓고 있지 않은 상황입니다. 


▶ Metaphor 관련 보고서 보러가기


현재 알약에서는 해당 악성코드에 대하여 Misc.Android.Stagefright.Detector로 탐지하고 있습니다. 


참고 :

https://threatpost.com/stagefright-variant-metaphor-puts-millions-of-samsung-lg-and-htc-phones-at-risk/116870/



티스토리 방명록 작성
name password homepage