울지않는벌새 : Security, Movie & Society

악성 MP3/MP4 파일을 이용한 Stagefright 안드로이드(Android) 보안 취약점 주의 (2015.10.2)

벌새::Security

2015년 7월 하순경에 공개된 안드로이드(Android) 스마트폰 환경에서 MMS(Multimedia Messaging Service) 문자 메시지만을 수신하는 행위만으로도 원격 코드 실행이 가능한 Stagefright 보안 취약점이 이슈가 되었습니다.

 

그런데 최근 안드로이드(Android) 스마트폰 사용자가 악의적으로 조작된 MP3 오디오 파일 또는 MP4 비디오 파일을 처리하는 과정에서 원격 코드 실행이 가능한 2종의 보안 취약점을 2015년 8월 15일에 Google에 보고하였다는 소식입니다.

일명 Stagefright 2.0 보안 취약점으로 알려진 첫 번째 CVE-2015-6602 취약점은 libutils 라이브러리를 통해 악의적으로 조작된 MP3, MP4 파일을 처리하는 과정에서 코드 실행이 가능하며, 모든 안드로이드(Android) 모바일 운영 체제 환경에서 동작할 수 있습니다.

 

Android 5.0 버전 및 상위 버전(Lollipop)에서만 유효한 두 번째 취약점(CVE-2015-????)은 libstagefright 라이브러리를 통해 악의적으로 조작된 MP3, MP4 파일을 처리하는 과정에서 원격 코드 실행이 가능하다고 합니다.

 

기존의 Stagefright 보안 취약점의 경우 MMS 문자 메시지를 통해서만 코드 실행이 가능한 반면 이번 Stagefright 2.0 보안 취약점은 공격자가 전송한 URL 주소를 클릭하여 취약한 라이브러리를 사용하는 웹 브라우저, 메신저, 미디어 플레이어 등의 애플리케이션을 통해 악성 페이지에 포함한 MP3 오디오 또는 MP4 비디오 파일을 단순히 미리보기 방식으로 자동 재생되는 행위로 코드 실행이 가능합니다.

 

또한 동일한 네트워크 상에 위치한 공격자는 암호화하지 않은 네트워크 트래픽으로 연결되는 웹 브라우저에 대해서는 일반적인 트래픽 가로채기를 위한 MITM(Man in the Middle) 공격 코드를 추가하여 정보를 수집할 수 있습니다.

 

이에 따라 구글(Google) 업체에서는 다음 주에 Google Nexus 스마트폰에 대한 보안 패치를 배포할 예정이며, 삼성 및 LG 등 다른 안드로이드(Android) 스마트폰 제조사의 경우에는 각 업체별로 대응이 이루어질 것으로 보입니다.(LG 일부 기종의 경우 Stagefright 취약점에 대한 보안 패치도 이루어지지 않은 것 같은데... )

 

현재 취약점 관련 PoC는 보안 패치가 제공될 때까지는 공개되지 않을 예정이지만, 만약 악의적인 해커가 공격 방식을 알 경우 최근 이슈가 되는 공유기 해킹, 스미싱(Smishing) 문자, 웹 사이트 해킹을 통한 악성 스크립트 등 다양한 유포 경로를 이용하여 손쉽게 악성앱을 자동 설치할 수 있으므로 차후 공개될 모바일 운영 체제의 보안 패치를 반드시 하시기 바랍니다.