스마트폰의 Stagefright 취약 여부 확인 방법. 당분간 MMS 설정 변경이 해결책

MMS 수신으로 감염되는 Stagefright 취약점 확인 방법

얼마 전 MMS를 수신하는 것만으로 안드로이드 스마트폰이 감염되는 Stagefright 취약점에 대한 포스팅을 했습니다.

 

사용자는 아무것도 하지 않고, 단지 MMS를 수신한 것만으로 안드로이드 스마트폰이 악성코드에 감염되어 연락처, 사진, 동영상 등의 데이터를 탈취 당할 수 있고 스마트폰의 마이크와 카메라 조작이 가능한 심각한 보안 취약점이었습니다.

 

2015/08/01 - MMS 수신만으로 감염되는 안드로이드 취약점, Stagefright 취약점과 대비 방법

 

포스팅에서는 문자 메시지 설정에서 첨부 파일을 자동으로 다운로드 하지 않도록 설정하여 Stagefright 취약점에 대비하는 방법을 함께 설명했습니다.

 

이렇게 설정하면 MMS가 수신되도 전체 문자 내용, 혹은 첨부된 이미지 파일 등이 표시되지 않고 [다운로드] 버튼으로 표시됩니다.

MMS 자동수신 비활성화

이런 화면이 살짝 낯설긴 하지만 대개 MMS를 보내는 쪽은 대부분 업체 홍보용으로 뿌려지는 낯익은(?) 번호라 크게 불편하진 않더군요.

 

더구나 요즘은 MMS에 홍보 이미지를 크게 넣은 스팸 메시지도 간간히 보이는데-수신하자마자 의사와 상관없이 스팸 이미지가 떠버리는 수법- 그런 이미지를 안 봐도 되는 장점도 있습니다.

Stagefright 취약점 탐지 프로그램

Stagefright 취약점이 막 알려지고 제가 포스팅을 작성할 7월말에는 전무했던 Stagefright 취약점 탐지 앱들이 2~3주 사이에 꽤 많이 등장했습니다.

플레이 스토어에서 'stagefright detector'와 같은 키워드로 검색해보면 4~5개 남짓한 탐지 앱들이 나와 있습니다.

stagefright detector

 

저는 그 중 가장 첫 번째 올라와 있는 Stagefright Detector App을 다운로드하여 설치했습니다.

이 앱은 사용중인 스마트폰에 Stagefright 취약점이 있는지 확인하고 알려주는 프로그램입니다.

stagefright detector

 

앱을 실행한 후 [Begin Analysis] 버튼을 누르자 잠시 분석 화면이 돌아가더니 곧 결과를 보여줍니다.

CVE-2015 로 시작되는 보안 취약점 리스트가 보이며 녹색으로 표시된 항목은 패치된(문제가 수정된)항목이며 빨간색으로 표시된 항목들은 보안 취약점이 그대로 남아 있는 항목들입니다.

 

제가 사용중인 넥서스4에서 실행했더니 3개의 Stagefright 취약점이 있다고 나오며 이런 취약점이 있는 탓에 붉은색으로 'Vulnerable(취약한)' 이라고 표시되고 있습니다.

넥서스4 stagefright Nexus4

새 펌웨어 발표 후 1주일, 넥서스4 업데이트

Stagefright 취약점에 대한 소식이 발표된 후 구글에서는 자사의 레퍼런스 스마트폰들에 대한 보안 패치를 곧 배포하겠다고 했습니다.

 

그리고 해외 안드로이드 관련 사이트에서는 넥서스 시리즈의 새 펌웨어 파일들이 속속 올라오기 시작했습니다.

droid-life.com의 넥서스 시리즈 Stagefright 패치 배포 페이지(영문)

 

위 페이지에서는 넥서스 4, 5, 6, 7, 9, 10 등에 대한 Stagefright 패치 파일을 다운로드할 수 있습니다.

 

하지만 저는 직접 패치하는 것보다 OTA 업데이트(Over The Air - 무선으로 업데이트 파일을 다운로드하는 방식의 업데이트)를 원했기에 가끔 [설정]-[휴대전화 정보]-[시스템 업데이트] 항목을 선택하여 새로운 업데이트가 있는지 확인해 보곤 했습니다.

넥서스4 시스템 업데이트 Nexus4 System Update

 

대략 8월 12일 경부터 넥서스 시리즈에 대한 Stagefright 업데이트 파일이 OTA 방식으로 배포되기 시작되었다는 뉴스가 나왔는데, 저는 1주일 남짓 하루에 한 번씩 확인을 해봐도 계속 '시스템이 최신 상태입니다'라는 메시지만 뜨더군요.

넥서스4 시스템 업데이트 Nexus4 System Update

 

OTA 방식의 업데이트가 '기다리고 있다가 순서가 되면 뜨는' 방식이라고 알고는 있었지만, 1주일 남짓 기다리다보니 뭔가 다른 방법이 없을까 싶은 생각이 들었습니다.

 

'넥서스 강제 업데이트' 등의 키워드로 검색해보니 그럴 듯한 방법이 있었습니다.

[애플리케이션] 항목에서 [전체] 탭을 누르고 [Google Services Framework] 항목으로 들어간 뒤 [데이터 지우기]를 누르고

넥서스4 OTA 강제 업데이트

 

[앱 데이터를 삭제하시겠습니까?] 라는 질문에 [확인] 버튼을 누른 뒤, [강제 종료]를 눌러 빠져 나온 후

넥서스4 OTA 강제 업데이트

다시 [시스템 정보]-[업데이트 확인] 을 실행하면 업데이트가 뜰 것이라는 정보가 있었습니다.

이 방법도 한 번에 되는게 아니라 Google Services Framework 항목의 데이터를 지우는 과정을 수 차례 반복하다보면 될 것이라는 얘기가 있었지만, 제 넥서스4는 반복시도에도 효과가 없었습니다ㅡ,.ㅡ;;

 

그렇게 업데이트를 확인해보다가 1주일이 넘게 지나면서 잊어버리고 있었는데, 며칠 전 아침 드디어 [Android System Update 다운로드 및 확인됨] 이라는 메시지가 떴습니다.

Android System Update

 

업데이트 파일의 용량이 20.1MB 인 것을 보니 Stagefright 취약점에 대한 보안 업데이트가 맞다 싶었고, 업데이트 완료 후 넥서스4의 빌드 번호를 확인해 보니 LMY48I였습니다.

역시 해외 사이트에서 확인했던 넥서스4의 Stagefright 취약점 패치 버전과 일치합니다.

넥서스4 LMY48I Stagefright

제 넥서스4는 OTA 업데이트가 발표된지 1주일만에야 간신히 업데이트 적용을 하게 되었네요.

역시 OTA 업데이트는 그냥 느긋하게 기다리는게 답인가 봅니다.

보안 패치 후에도 여전히 남아 있는, Stagefright 취약점

그렇게 Stagefright 취약점에 대한 패치를 적용했으니, 다시 한 번 Stagefright Detector 앱을 실행해봤습니다.

그런데, 당연히 녹색 번호들만 뜰 줄 알았던 검색 결과에 CVE-2015-3864 라는 취약점이 빨간색으로 표시되어 있고, 화면 중간에는 여전히 붉은색 바탕의 'Vulnerable'이라는 경고 문구가 떠 있었습니다.

넥서스4 stagefright Nexus4

Stagefright 보안 패치를 적용했고 펌웨어 버전까지 정확히 일치하는 것을 확인했는데, 무슨 일인가 싶어 다시 검색을 해봤습니다.

 

그 결과 CVE-2015-3864 취약점은 이번 패치에서 잡히지 않았고, 9월에 배포될 OTA 업데이트를 통해 패치될 예정이라는 얘기들이 보이는군요.

 

그나마 다행이라면 이번 Stagefright 취약점 이슈가 불거진 덕분에 넥서스 시리즈는 매달 보안 업데이트를 OTA로 배포할 것이라는 소식이, 안드로이드 공식 블로그를 통해 전해진 것입니다.

안드로이드 공식 블로그 넥서스 업데이트 관련 뉴스(영문)

 

어쨌든 그나마 발빠르게 움직였다는 넥서스 시리즈의 업데이트 조차 다음 달로 미루어졌고, 다른 안드로이드 스마트폰 제조업체들의 보안 패치 배포는 이보다 더 늦어질테니, 일단은 MMS 자동 수신 옵션을 끄는게 그나마 가장 안전한 방법이 아닐까, 생각됩니다.

 

이 글을 공유하기

댓글 :: 질문 댓글은 공개글로 달아주세요. 특별한 이유없는 비밀 댓글에는 답변하지 않습니다

Designed by JB FACTORY