2020-05-26 18:25 (화)
안드로이드 취약점 공격코드 공개돼…주의!
상태바
안드로이드 취약점 공격코드 공개돼…주의!
  • 길민권
  • 승인 2011.12.06 05:33
이 기사를 공유합니다

컨텐츠 프로바이더 URI 통한 개인정보 유출 취약점 공격
보안패치 적용된 최신 OS버전으로 펌웨어 업데이트 진행해야
지난해 안드로이드 스마트폰 개인정보 유출 취약점이 발표된 후, 올해 11월 이를 이용한 공격코드가 해외에서 발표돼 이용자들의 주의가 요구된다.
 
구글에서 개발한 안드로이드 2.3.3(패치가 적용된 진저브레드) 이하 버전에서 컨텐츠 프로바이더 URI를 통한 스마트폰 개인정보 유출 취약점이 2010년 11월 18일 최초로 발표됐다. 자세한 내용은 아래 링크를 참고하면 된다. 이후 1년이 지난 2011년 11월 28일 해외 보안포럼을 통해 취약점을 공격하는 코드가 공개됐다.
 
유동훈 아이넷캅(www.inetcop.net) 연구소장은 “공격자가 SMS 스팸 문자나 모바일 메신저 링크, QR코드 등을 통해 특수하게 조작된 웹페이지를 사용자가 열어보도록 유도할 경우 정보를 유출하는 공격 스크립트가 실행돼 스마트폰 사용자의 개인정보 및 자료 등이 외부로 유출되는 피해를 입을 수 있다”며 “2.3.3 진저브레드 버전 이하의 안드로이드 사용자는 해당 취약점이 해결된 최신 OS로 업데이트를 적용해야 하다”고 권고했다.
 
이 취약점에 영향을 받는 시스템과 소프트웨어는 안드로이드 이클레어 2.0, 2.1 버전부터 프로요 2.2 버전과 진저브레드 2.3.2 버전까지 해당 취약점의 영향을 받는 것으로 나타났다. 진저브레드 2.3.3(패치가 적용된 삼성 갤럭시S2 제품)과 2.3.4는 영향을 받지 않는다.
 
아이넷캅 스마트 플랫폼 보안기술 연구소 측은 “최초 보안 권고문이 발표됐던 2010년 11월에 해당 취약점에 대한 정보를 확인했으며 최근 발표된 공격 코드 시험 및 취약점 분석 과정을 통해 결과를 확인했다”고 밝혔다.
 
또 “구글 안드로이드 스마트폰의 경우, 허가권 보안 모델이 기본으로 적용되어 있어 통화 및 문자 내역과 주소록 등의 개인정보는 유출되지 않는 것이 확인됐지만 SD카드에 저장되는 사진 및 동영상 파일 등의 개인정보들은 유출이 가능한 것으로 확인됐다”고 설명했다.
 
◇취약점 발생 원인=해당 취약점의 발생원인은 무엇일까. 세가지로 요약할 수 있다.
 
우선 안드로이드 웹브라우저가 파일을 다운로드 할 때 사용자에게 동의를 구하는 메시지를 표시하지 않고 자동으로 다운로드하는 문제점이다.     
 
또 htmlfileprovider 컨텐츠 프로바이더 URI로 HTML 파일을 열 때 사용자에게 동의를 구하는 메시지를 표시하지 않고 자바 스크립트를 실행하는 문제점이 있다.
 
마지막으로 스마트폰 내부의 로컬 환경에서 자바 스크립트 AJAX 코드를 실행시키므로 읽기 가능한 파티션에 있는 모든 파일 및 자료 접근이 가능한 문제점 등이 있다.
 
◇가능한 공격시도=한편 이 취약점을 악용할 경우 공격자는 어떤 공격 시도들을 할 수 있을까.
 
해당 공격은 허가권 보안 모델이 기본으로 적용된 안드로이드 샌드박스 내에서 발생한다. 따라서 데이터 파티션에 저장된 통화 및 문자 내역, 주소록 정보는 유출되지 않는다.
 
반면 SD카드 파티션과 최상위 루트 내에 읽기 가능한 모든 파일이 유출될 수 있다. 단 관리자 권한으로 유출되지 않는다. 또 SD카드 파티션에 위치한 응용 프로그램이 원격 서버로 업로드 될 수 있다. 또 SD카드 파티션에 저장된 모든 사진 및 동영상, 저장된 음성 메일 등의 내용이 원격 서버로 전송될 수 있다. 단 경로가 정확하게 알려진 파일에 대해서만 유출이 가능하다.
 
해당 취약점에 대한 시연 동영상 정보는 다음과 같다.
-vimeo.com/17030639

 
동영상을 보면 스마트폰 내에서 악의적 URL을 클릭할 경우 스마트폰 내의 파일이 외부로 유출되는 과정을 확인할 수 있다.
 
유동훈 소장은 “안드로이드 2.3.3(패치가 적용된 진저브레드 버전) 이하 버전을 사용 중인 경우 공식 보안 패치가 적용된 최신 OS 버전으로 펌웨어 업데이트를 진행해야 한다”며 또 “출처가 불분명한 SMS와 메일 등의 웹 주소 링크를 클릭하지 않도록 주의해야 한다”고 조언했다.
 
그리고 OS 업데이트 진행이 불가능할 경우는 한국인터넷진흥원 인터넷 침해대응센터에서 제공했던 임시 해결책을 적용하는 것이 좋다.
‘웹 브라우저 실행 중 메뉴 버튼 클릭-더보기-설정-자바 스크립트 실행에서 체크 해제’ 절차를 따르면 된다.

 
이외에도 임시 해결책으로 SD 카드 파티션의 마운트를 해제했다가 필요시에만 사용하는 방법이 있다. ‘설정-SD 카드 및 휴대폰 메모리-SD 카드 마운트 해제’ 순을 따르면 된다.
 
한편 유 소장은 “아이넷캅 스마트 플랫폼 보안 기술 연구소에서는 스마트폰을 대상으로 한 1Day 취약점 뿐만 아니라 0Day 취약점에 대해 지속적인 연구활동을 하고 있으며 분석된 보고서에 대한 데이터베이스를 구축하는 사업을 자체적으로 진행 중”이라고 밝혔다.
 
◇해당 취약점 관련 참고 사이트
-cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4804
-www.securityfocus.com/bid/48256/info
-thomascannon.net/blog/2010/11/android-data-stealing-vulnerability
-www.csc.ncsu.edu/faculty/jiang/nexuss.html
 
◇공격코드 관련 참고 사이트
-www.exploit-db.com/exploits/18164
[데일리시큐=길민권 기자]