StageFright 취약점이란

StageFriht취약점은  안드로이드 폰  사용자가 아무런 조작을 하지 않았는데도 악성코드가 원격으로 실행될 수 있는  취약점으로서 작년도 9월에 크게 기사회된 바 있습니다. 

당시에 저도 스마트폰의 MMS설정을 수동으로 받도록 설정했던 기억이 납니다.   StageFrigt(무대공포증) 취약점에 대해 정리해보았습니다. 

참고한 URL:
알약 블로그: StageFrigt  http://blog.alyac.co.kr/388
StageFrigt 2.0: http://blog.alyac.co.kr/436, http://blog.alyac.co.kr/392
모바일 스마트폰 보안위협동향: <<아이넷캅 유동훈님>>

 

I. 사용자 조작 없이도 원격공격이 가능한, 안드로이드 Stagefright 취약점의 개요

1) StageFright 취약점의 정의:

"StageFright"라는 안드로이드 필수 멀티미디어 라이브러리를 공격하여  사용자의 조작 없이도 사용자 단말기를 해킹할 수 있는  소프트웨어 버그 (안드로이드 운영체제 2.2버전 이후 버전에서 발생)

안드로이드가 PDF등의 멀티미디어 파일을 녹화하고 재생하는데 사용하는 멀티미디어 플레이백 라이브러리인 안드로이드 코어 컴포넌트 “Stagefright” 에 존재하는 취약점

– StageFright 취약점  v1.0: 악성코드가 심어진 MMS 메시지를 기기에 보내기만 해도 자동으로 악성코드가 단말기에서 실행되도록 하는 취약점 (2015.7.28 발견)

  StageFright 취약점 v2.0: 악성 멀티미디어 파일인 MP3나 MP4를 포함하고 있는 웹사이트를 방문하도록 유도하여 스마트폰을 해킹할 수 있는 취약점  (2015.10.1 발견)

* 영향받는 안드로이드 OS 버전

안드로이드 2.2 ~ 5.1(최신버전)

2) StageFright 취약점의 특징

  (1) 사용자 조작 불필요: 사용자가 아무런 조작을 하지않고 잠금화면상태에서도 공격 성공
  (2) MMS 메시지 이용: 악성코드 심어진 MMS메시지를 보내는 방식의 공격
  (3) 최소 정보 이용: 공격자는 사용자의 전화번호만 알면 공격 가능
  (4) 대다수 안드로이드 취약: 안드로이드 OS의 95%에 존재하는 미디어 재생기능 취약점 이용
  (5) 앱, 웹을 통한 전파 가능:  악성 멀티미디어 파일인 MP3나 MP4를 포함하고 있는 앱, 웹을 통한 전파 가능

 

II. 구성도 및 구성요소

1)  StageFright 취약점 공격 경로 

Image(25)

– 미디어 파일 헤더 조작으로 인해 발생하므로 파일정보를 얻는 동작만으로 악성코드 감염 가능

– MMS외의 다른 파일 전송수단을 통해서도 동일한 공격이 가능함

2) 공격 시나리오

(1)  MMS메세지 공격:   안드로이드 운영체제에는 문자메세지에 첨부된 MMS를 사용자가 보기 전에 미리 로드하는 기능이 있는데, 공격자가 이 기능을 이용하여 조작된 MMS 메시지를 전송하면, 사용자가 메시지를 열어보지 않아도 공격대상인 안드로이드 기기를 감염 시킬수 있음  (StageFright V1.0)

(2) 변조된 앱을 통한 공격: 변조된 앱을 통해 특별히 조작된 MP4 파일이 사용되도록 하면  공격자가 사용자 단말기의 root권한을 얻을 수 있음   (StageFright V2.0)

  (3) 변조된 파일이 포함된 URL을 통한 공격 : 변조된 mp4 파일을 HTML 파일에 삽입해 넣은 악성 웹사이트를 통해 동일한 공격이 성공 가능함. (StageFright V2.0)

III.  해결방법

1)   Stagefright 라이브러리의 취약점 해결 :   – 구글에서 취약점에 대한 패치 배포

2)  주기적인 보안패치 배포:   – 구글과 주요 제조사에서 보안패치를 주기적으로 배포하는 체계 마련
    (구글/삼성에서는 매월 패치 배포)

3)   MMS 자동 수신 기능을 비활성화 시키는 방법
-  MMS 자동수신을 해제하는 방법을 이용하여 첨부파일이 포함된 문자를 수동으로 받도록 변경해야 함
– 문자메시지 관련 앱의 환경설정에서 MMS 자동수신 기능을 해제해야 함 (제조사별 차이 있음)


안드로이드 보안위협 관련 참고 사항

1) 2009~2015년 스마트폰 보안위협 발생 이력

Image(24)

2) 애플과 비교한 안드로이드 보안취약점 관리가 어려운 이유

Image(26)


3) 안드로이드의 악성코드 유포 유형

  (1) 사설 블랙마켓을 통한 악성코드 유포
  
– 유료 앱을 무료로 사용하고자 하는 사용자에게 변형된 앱 유포
   – 앱설정을 변경한 이용자들의 부주의에 의해 모바일 악성코드 감염


Image(27)

 (2) 앱 리패키징을 통한 악성코드 유포
  
– 앱 검증절차 부재로 인해 앱 기능 수정 및 추가 후 재배포된 앱 설치 가능
   – 공개도구를 통해 제 3자가 정상 앱에 쉽게 악성기능 추가 기능

Image(28)

  (3) SMS를 통한 악성코드 URL 유포
  
– 악성앱 경로를 짧은 URL로 만든 후 감염시키고자하는 폰에 문자 전송
  – 청첩장, 돌잔치, 쿠폰앱을 가장한 스미싱 앱이 사례

Image(29)

Java 개발 및 실행환경 (JDK/JRE) 보안 업데이트 권고

  krcert에서 보안공지가 뜬 내역입니다. 요즘 자바런타임(JRE)을 사용하는 경우가 늘어나고 있습니다. 서버에서도 많이 쓰이고 있는 것이 현실이구요.   윈도우보안패치 말고도 이런 어플리케이션 취약점을 통해 시스템이 해킹되는 사례가 늘어나고있어서  사용자들의 주의가 요구되고 있습니다.  윈도우보안패치만 하면 안전하다고 생각하던 시대는 지난 느낌이 듭니다. ㅠㅠ   

인터넷 침해대응센타 (KrCert) 사이트:   htttp://www.krcert.or.kr/

▶ 개요
   o Java 개발 및 실행환경인 JDK/JRE 6 Update 10 이후 버전의 자바 배포 도구 (Java Deployment
      Toolkit) 플러그인과 ActiveX 컨트롤에서 매개변수로 전달되는 입력값 검증 오류 및
      Update 18 이후 버전의 자바 플러그인의 오류로 인해 원격코드실행 취약점이 발생 [1, 2, 4]

   o 공격자는 특수하게 조작된 웹 페이지로 사용자를 유도하여, 해당 시스템에서
      악의적인 Java 파일(JAR)을 실행할 수 있음 [2]
   o 해당 취약점을 이용하여 악성코드를 전파하는 사례[6]가 발견되어 주의가 요구됨
   o 관련취약점 :
     – Java Deployment Toolkit 취약점 (CVE-2010-0886)
     – New Java Plug-in 취약점 (CVE-2010-0887)

▶ 해당 시스템
   o 영향 받는 소프트웨어 [4]
     – Java SE JDK/JRE 6 Update 10 ~ Update 19
     – Java for Business JDK/JRE 6 Update 10 ~ Update 19
       ※ Windows, Solaris, Linux 플랫폼에 관계없이 32비트 웹 브라우저에서 동작하는
           Java 제품에서 영향을 받음

▶ 해결 방안
   o Java SE 또는 Java for Business JDK/JRE 6 Update 20을 설치 [3, 4]
     ※ Java 자동업데이트 설정권고: 제어판→Java→업데이트→”자동 업데이트 확인” 설정 [7]

    <<  자바업데이트 사이트 >>
 
▶ 용어 정리

   o Java : Sun Microsystems(現 Oracle)에서 개발한 플랫폼 독립적인 객체 지향 프로그래밍
      언어로, 해당 언어 기반의 제품을 통칭하는 의미로도 사용됨
   o Java Deployment Toolkit : Java 응용 프로그램을 쉽게 배포할 수 있는 기능을 제공하는
      Netscape 호환 플러그인과 ActiveX 컨트롤 [5]
   o JDK(Java Development Kit) : Java 응용 프로그램을 개발하기 위한 도구
   o JRE(Java Runtime Environment) : Java 언어로 개발된 응용 프로그램의 실행 플랫폼
   o JAR(Java ARchive) : Java 응용 프로그램 및 라이브러리를 배포하기 위해 사용되는 실행
      가능한 파일 포맷

▶ 문의처
   o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

▶ 참조 사이트
[1] http://lists.grok.org.uk/pipermail/full-disclosure/2010-April/074036.html
[2] http://www.kb.cert.org/vuls/id/886582
[3] http://www.java.com/ko/
[4] http://www.oracle.com/technology/deploy/security/alerts/alert-cve-2010-0886.html
[5] http://java.sun.com/javase/6/6u10faq.jsp#DT
[6] http://blogs.zdnet.com/security/?p=6161
[7] http://www.java.com/ko/download/help/java_update.xml

인터넷전화, 쉽게 해킹 가능한 취약점 노출

이 기사는  보안뉴스에 게재된 것을 가져온 것임을 밝혀드립니다.
원문참조: http://www.boannews.com/media/view.asp?idx=19898&kind=0 

     국내 인터넷전화(VoIP)의 심각한 보안 취약점이 계속 방치돼 있는 상태…
     이 때문에  쉽게 인터넷전화가 도용되거나  인터넷전화 불능 대란이 발생할 가능성도 있음

   국내 주요 인터넷전화의 경우, 이메일 하나만 보내 사용자가 단지 읽기만 해도 인터넷 전화의 관리자 계정을 탈취할 수 있는 것으로 파악됐다. 이를 이용하면, 관리자 계정 비밀번호를 변경하지 않은 특정 통신사의 인터넷 전화를 모두 패스워드를 바꿔 마비시킬 수 있을 뿐 아니라, 사용자 몰래 인터넷 전화를 도용하는 것도 쉽게 가능한 것으로 나타났다. 이는 국내 주요 통신사의 인터넷전화의 특정포트가 외부에서 접속할 수 있도록 열려있어, 기본으로 설정된 ID와 패스워드 만 알면 관리자 계정에 쉽게 접근할 수 있었기 때문. 그러나 국내 인터넷 전화들의 기본 ID와 패스워드는 간단한 인터넷 검색으로도 쉽게 알아낼 수 있는 상황. 게다가 관리자 계정에는 인터넷 전화를 이용하는데 필요한 SIP 계정과 패스워드를 쉽게 추출할 수 있게 돼 있어, 인터넷 전화를 이용하는 IP주소만 알고 있다면 그 인터넷 전화를 쉽게 도용할 수 있다.
 
   보안업계의 전문가들은 특정 사용자의 IP를 알아내는 것은 간단한 메일 한통으로도 충분하다고 이야기한다. 메일에 그림파일이 첨부돼 있으면 사용자가 메일확인시 그림을 보는 동시에 그림이 저장돼 있는 서버에 IP주소가 남게 되기 때문. 따라서 전문가들은, 현재 상황으로는 누군가의 인터넷전화를 도용하거나 쓸 수 없도록 하는 것은 매우 쉽다고 이야기한다.

  현재 이런 취약점으로 이용될 수 있는 인터넷 전화는 국내에만 해도 엄청난 수가 될 것으로 파악되고 있다. 보안뉴스에서 포트 스캔을 의뢰해 확인한 계정 접근이 가능한 인터넷전화 IP만해도 수백 건이 넘기 때문. 해당 통신사 측은 이런 취약점이 문제가 되긴 하지만 아직까지 발생한 사건이 없어 크게 걱정할 필요 없다는 입장이다. 그러나 전문가들은 이 취약점을 이용해 인터넷전화를 해킹하는 방법은 이미 인터넷 상에서도 쉽게 찾을 수 있어 범죄로 악용될 수 있다고 우려를 나타나고 있다. 보안 전문가들은 이런 보안 취약점은 인터넷전화 업체들이 보안 관리에 소홀히 하고 사용자 보안에 대한 관심이 부족해서 나타나는 문제라고 설명한다.

  한 전문가는 “일단 외부에서 접속할 수 있도록 포트가 열려있는 것만 해도 보안관리가 제대로 되고 있지 않다는 것을 보여주지만, 더 큰 문제는 통신사들이 인터넷전화를 가입자만 늘리려고 하지 이런 보안 문제에 대해 제대로 설명하지 않고 있다는 것”이라며 “사용자들이 인터넷전화를 이용할 경우 계정 비밀번호를 필수적으로 바로 바꾸도록 해야 하지만 사용자 스스로 바꾸라고 권유할 뿐 적절한 조치를 취하지 않는다”라고 지적했다.

  대다수의 일반 사용자들은 스스로 설정할 수 있을 만큼 IT에 대한 지식이 풍부하지 않기 때문에 대다수 사용자들은 기본 설정된 비밀번호를 계속 이용하고 있다. 따라서 통신사들이 적극적으로 사용자 비밀번호를 바꾸도록 해야하는 상황. 그러나 인터넷전화 가입자에만 열을 올리고 있는 통신사들은 오히려 이런 문제를 쉬쉬하고 있는 것으로 전해졌다. 업계의 한 관계자는 “일단 사용자들은 뭔가 복잡하게 설정해야한다고 하면 차라리 인터넷전화를 이용하지 않는 게 좋다는 생각을 가지고 있어 적극적으로 패스워드 교체를 권유할 수 없는 상황”이라고 말한다.  보안업계의 전문가는 “이런 문제 이미 여러 차례 이슈가 된 적 있지만 계속 방치되면 피해자가 속출하고 심하면 지난 7.7 DDoS 대란 때보다 더욱 심각한 인터넷전화 대란이 나타날 수 있다”면서 “업계와 정부는 서둘러 관련 문제 해결을 위한 방안을 마련해야 할 것”이라고 주장했다.

[취약성] Flash 취약점 확인하기

요즘은 OS자체의 취약성을 공격하기 보다 Application의 취약성을 공격하는 쪽으로 옮겨가고 있는 추세입니다.  Flash player의 취약성을 기반으로 한 공격을 회피하려면 즉각 Flash player를 업데이트 해야합니다. MS 업데이트에도 포함되어 있으므로  많이 업데이트 되어 있으리라 보지만 그래도 확인이 필요합니다.  사실 발표된지가 조금 되었지만 이런 류의 공격은 계속되리라 보여집니다.

Flash Player를 최신버전인 9,0,124,0 이상으로 업데이트
취약성 대상: Adobe Flash Player 9.0.115.0 이하 버전 (모든 운영체제 해당)
이미 Flash Player의 취약점을 이용한 악성코드가 발견된 상황입니다.  신속한 업데이트가 실행되어야 하며  현재 버전을 확인해야합니다.

취약한 Flash Player 버전을 사용할 경우의 영향
  공격자는 조작된 SWF 파일이 포함된 웹 페이지를 먼저 만들게 됩니다.  해킹을 통해 신뢰할 만한 사이트들의 메인페이지에 조작된 SWF파일을 삽입하거나  또는 일반 자료실에 호기심갈만한 제목으로 SWF를 올려두게될 것으로 보입니다.  인터넷을 사용하는 유저가  이런 사이트들에 접속하게 되었을때 부지중에   PC에서  악성 스크립트를 실행하게 되거나   악성코드에 감염되게 된다는 데 문제의 심각성이 있습니다.

현재 내가 사용중인 웹브라우저에서 사용하는 flash player버전 확인하기
아래 링크를 클릭하시면 현재 player버전을 알려줍니다.
http://www.macromedia.com/software/flash/about/

Adobe Flash Player 취약점 발표된 내역
1) “Declare Function (V7)” 태그를 처리하는 과정에서 특별하게 조작된 플래그에 의해 힙 오버플로우가 발생하는 취약점 (CVE-2007-6019)
2)  멀티미디어 파일을 처리하는 과정에서 정수형 오버플로우로 인한 버퍼 오버플로우가 발생하여  임의의 코드를 실행할 수 있는 취약점 (CVE-2007-0071)     
3) 호스트 이름을 한 IP 주소로 고정시킬 때 발생하는 오류를 이용하여 DNS rebinding 공격이 가능한 취약점 (CVE-2007-5275)(CVE-2008-1655)
4) HTTP 헤더를 보낼 때 오류로 크로스 도메인 정책 파일을 우회하여 크로스 사이트 요청 변조 공격이 가능한 취약점 (CVE-2008-1654)
5) 크로스 도메인 정책 파일의 사용과 해석의 제한이 충분하지 않아서, 원격에서 크로스 도메인  또는 크로스 사이트 스크립트 공격이 가능한 취약점 (CVE-2007-6243)
6) 입력 값 처리의 오류로 인해 조작된 SWF 파일을 통해 스크립트나 HTML을 삽입할 수 있는  다수의 크로스 사이트 스크립트 취약점 (CVE-2007-6637)