울지않는벌새 : Security, Movie & Society

MMS 문자 메시지 수신만으로 악성앱에 감염되는 안드로이드 스마트폰 주의 (2015.7.30)

벌새::Security

최근 거의 모든 안드로이드(Android) 스마트폰 환경에서 MMS(Multimedia Messaging Service) 문자 메시지를 수신하는 행위만으로도 원격 코드 실행이 가능한 Stagefright 보안 취약점(CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828, CVE-2015-3829)이 확인되었다는 소식입니다.

Stagefright는 일부 유명한 미디어 파일 포맷을 처리하는 미디어 라이브러리를 의미하며, 이를 통해 공격자가 악의적으로 조작된 미디어 파일(사진, 동영상 등)이 포함된 MMS 문자 메시지를 익명의 다수에게 발송한 경우 해당 메시지를 수신하는 동시에 화면상으로는 전혀 표시되지 않는 악성앱이 자동으로 설치될 수 있습니다.

 

특히 악성앱 감염 이후 공격자는 MMS 문자 메시지 수신자가 문자 메시지를 확인하기 이전에 삭제까지 할 수 있으며 이로 인하여 피해자는 문자 메시지가 왔다는 알림만을 인지할 뿐 어떤 내용의 문자가 왔었는지 알 수 없게 됩니다.

 

결과적으로 Stagefright 취약점은 악의적인 MMS 문자 메시지를 자동으로 받으면 수신자의 어떠한 행위없이도 악성앱 설치가 자동으로 이루어질 수 있다는 점에서 기존의 스미싱(Smishing) 문자와는 전혀 다른 형태로 안드로이드(Android) 스마트폰을 감염시킬 수 있기에 매우 공격적인 감염 방식입니다.

 

■ 영향을 받는 안드로이드(Android) 버전 정보

  1. Android 2.2 버전(Froyo)
  2. Android 2.3 ~ 2.3.6 버전(Gingerbread)
  3. Android 3.0 ~ 3.2 버전(Honeycomb)
  4. Android 4.0 ~ 4.0.4 버전(Ice Cream Sandwich)
  5. Android 4.1 ~ 4.3.1 버전(Jelly Bean)
  6. Android 4.4 ~ 4.4.4 버전(Kitkat)
  7. Android 5.0 ~ 5.1.1 버전(Lollipop)

 

이에 따라 구글(Google) 업체에서는 Stagefright 보안 취약점 문제를 해결한 보안 패치를 제작하여 각 스마트폰 제조사에 전달을 한 상태이며, 현재 Google Nexus 모바일 환경에서만 보안 패치가 이루어진 상태라고 밝히고 있습니다.

 

그러므로 Stagefright 보안 취약점 문제를 해결한 안드로이드(Android) 모바일 운영 체제 업데이트가 제공될 때까지는 다음과 같은 문자 메시지 설정 변경을 통해 MMS 문자 메시지 수신과 동시에 자동으로 코드 실행이 이루어지지 않도록 하시기 바랍니다.(※ 아래의 설정을 한 상태에서도 MMS 문자 메시지를 사용자가 직접 확인할 경우에는 자동으로 악성앱 감염이 발생할 수 있습니다.)

LG 스마트폰 예시

LG 스마트폰 사용자의 경우에는 문자 메시지 메뉴 중 "멀티미디어 메시지 설정" 항목에서 메시지를 자동으로 수신되도록 설정(자동 수신)된 기본값의 체크 박스를 해제하시기 바랍니다.

 

삼성 스마트폰 사용자의 경우에는 문자 메시지 메뉴 중 "멀티미디어 메시지(MMS)" 항목에서 자동으로 메시지를 가져오도록 설정(자동으로 가져오기)된 체크 박스를 해제하시기 바랍니다.

또한 스미싱(Smishing) 문자를 통해 MMS 문자 메시지 발송을 통해 악성앱을 자동으로 설치하도록 할 수 있다는 점에서 "AhnLab 안전한 문자"와 같은 스미싱 문자 검사앱 및 "AhnLab V3 Mobile 2.0"과 같은 실시간 감시 기능을 제공하는 모바일 백신을 반드시 설치하시고 안드로이드(Android) 스마트폰을 사용하시기 바랍니다.