MMS 수신만으로 악성코드에 감염되는 안드로이드 취약점
제가 사용중인 스마트폰용 백신, AVAST 모바일 시큐리티에서 좀 낯선 메시지가 떴습니다.
Critical Android vulnerability (치명적인 안드로이드 취약점)이라는 제목의 알림이 떴기에 이게 뭐지? 싶어서 열어 봤습니다.
개인적으로 PC나 스마트폰 모두 AVAST 백신을 수 년째 믿고 쓰고 있었고, 따로 신경쓰지 않아도 문제가 될만한 프로그램이나 사이트들을 알아서 차단해 주었습니다.
그런데 이런 형태의 알림 메시지는 처음 보는 것이라 열어봤습니다.
2013/10/17 - 강력한 스마트폰 백신, avast! 모바일 백신으로 스팸 문자 차단하는 방법
Avast 모바일 시큐리티의 알림창을 열자 Avast 홈페이지의 Mobile Security: Protect your mobile device from Stagefright – new Android vulnerability(새로운 안드로이드 취약점 : 모바일 기기를 Stagefright로 부터 보호하세요)라는 페이지로 연결되었습니다.
내용을 읽어보니 엄청나게 심각하고 위험한 취약점이었습니다.
해당 페이지의 내용을 요약하면 이렇습니다.
- 안드로이드 운영체제의 미디어 라이브러리인 Stagefright에서 취약점이 발견됨
- MMS(멀티미디어 문자 메시지)를 수신하는 것만으로 악성코드에 감염됨
- 악성코드에 감염되면 연락처와 사진, 동영상 등의 데이터를 탈취당할 수 있고, 스마트폰의 마이크와 카메라 조작이 가능해짐
- Stagefright 취약점은 안드로이드 2.2 프로요 부터 안드로이드 5.1.1 롤리팝까지, 95% 이상의 안드로이드 기기에 해당됨
아무것도 하지 않아도 악성코드에 감염
이 Stagefright 취약점이 무서운 것은, 사용자가 아무런 작업을 하지 않고, 단지 MMS를 수신하는 것만으로 감염된다는 점입니다.
지금까지의 스마트폰 피싱, 스미싱용 악성코드는 URL이나 IP가 적힌 문자를 보내서, 스마트폰 사용자가 이를 클릭하여 접속한 뒤, 악성코드가 심어져 있는 안드로이드 설치파일(APK)를 설치해야 감염되는, 여러 단계를 거쳐야 했습니다.
2014/01/13 - 스미싱 문자로 악성앱이 깔리는 과정, 스미싱 문자 신고 방법은?
악성코드가 담긴 APK 파일의 다운로드 및 설치를 유도하는 과정이 여러 단계일 뿐더러 악성코드가 담긴 APK 파일이 스마트폰 백신에 의해 차단되는 경우도 많습니다.
- 하지만 Stagefright 취약점은 URL을 클릭하거나 수신된 MMS를 여는 등의 작업을 하지 않아도, 사용자가 아무것도 하지 않고, 단지 MMS가 수신된 것만으로 감염될 수 있습니다.
- 즉 해커는 상대방의 전화번호만 알면 MMS를 보내어 연락처, 사진, 동영상 파일을 탈취하고 상대방의 스마트폰의 마이크와 카메라 조작이 가능해집니다.
안드로이드 stagefright 미디어 라이브러리 취약점 주의 권고 - 인터넷 침해 대응센터 보안공지
안드로이드 스마트폰의 MMS 자동 수신 해제 방법
stagefright 취약점은 감염 방식도 심각하지만 안드로이드 2.2 프로요 부터 최신 안드로이드 운영체제인 5.1.1 롤리팝까지, 거의 모든 안드로이드 기기가 위험에 노출되어 있다는 점이 더 심각합니다
구글에서는 현재 자사 레퍼런스폰에 대해 보안 패치를 실시하고 있다고 하며, 각 스마트폰 제조사도 곧 보안 패치가 적용될 예정이라고 합니다.
구글 레퍼런스 폰은 보안 패치가 적용 중이라고 하여 제 넥서스4의 업데이트를 확인해봤지만, 2015년8월1일 현재까지 별도의 업데이트가 나오지 않은 상태군요.
어쨌든 보안 패치가 발표되기 전까지 MMS의 자동 수신 기능을 꺼놓는 것이 안전합니다.
제가 사용중인 갤럭시S3의 MMS 자동 수신 기능 설정은 문자 메시지를 실행한 후 [메뉴] 버튼을 누르고 [설정]으로 들어갑니다.
문자메시지 설정 항목 중 [MMS설정]-[자동으로 가져오기] 항목의 체크를 해제합니다.
넥서스4는 문자 메시지를 실행한 상태에서 [메뉴]-[설정] 항목을 누른 뒤 [멀티미디어(MMS) 메시지]-[자동수신, 메시지를 자동으로 수신] 항목의 체크를 해제합니다.
기기 제조사에 따라 방법이 조금 다를 수 있지만 문자 메시지를 실행한 상태에서 [설정]-[MMS 자동 수신] 설정을 해제하면, MMS가 자동 수신되면서 스마트폰이 악성코드에 감염되는 것을 막을 수 있습니다.
단, 이렇게 설정했다고 해도 악성코드가 담긴 MMS를 열어볼 경우 악성코드에 감염될 수 있으므로 발신자가 불분명한 MMS 메시지는 열지 않는 것이 좋습니다.
* 구글 행아웃, WhatsApp 등을 문자 앱으로 사용하는 경우 Avast 블로그의 포스팅을 참조하여 MMS 자동 수신 기능을 해제합니다.
'모바일 > 스마트폰 활용팁' 카테고리의 다른 글
| 스마트폰의 Stagefright 취약 여부 확인 방법. 당분간 MMS 설정 변경이 해결책 (4) | 2015.08.21 |
|---|---|
| 스마트폰 공인인증서 갱신하는 방법. 스마트폰 뱅킹용 공인인증서 갱신 준비물과 과정 (2) | 2015.08.04 |
| 미라캐스트 사용 방법과 장단점. 안드로이드 스마트폰을 TV와 무선 연결하는 Miracast (2) | 2015.07.12 |
| 스마트폰 테더링 사용법. 무선 인터넷이 없는 곳에서 유용한 휴대용 와이파이 핫스팟 (2) | 2015.06.15 |
| QuickPic의 WiFi 전송 사용법. 스마트폰의 동영상, 사진 파일을 빠르게 주고 받는 방법 (6) | 2015.06.14 |
- 모바일/스마트폰 활용팁
- 2015. 8. 1. 17:05
댓글 :: 질문 댓글은 공개글로 달아주세요. 특별한 이유없는 비밀 댓글에는 답변하지 않습니다