안드로이드기기에서 음악(mp3)이나 동영상(mp4) 파일을 재생하면 악성코드에 감염될 수 있는 두 개 취약점이 발견됐다.
이 취약점들은 일명 '스테이지프라이트2.0(Stagefright2.0)'이라고 불리며 안드로이드5.0 롤리팝 버전에까지 적용되는 것으로 확인되면서 최소 9억5천만대 안드로이드기기 사용자들이 잠재적인 위험에 노출될 수 있는 것으로 나타났다.
앞서 짐퍼리움 z랩스 소속 조슈아 드레이크 보안연구원이 공개한 스테이지프라이트는 안드로이드폰으로 멀티미디어 문자(mms)를 수신했을 때 악성코드에 감염될 수 있게 하는 취약점이다. 이 연구원은 최근 안드로이드 1.0 이상 버전에서 모두 적용될 수 있는 취약점(CVE-2015-6602)과 안드로이드5.0 롤리팝 이상 버전에서 발견된 취약점(CVE-2015-3876)을 공개한 것이 스테이지프라이트2.0이다.
짐퍼리움 z랩스에 따르면 이러한 취약점들로 9억5천만대 이상 안드로이드기기 사용자들이 피해를 입을 수 있다고 지적했다. 이 회사 주크 아브라함 최고기술책임자(CTO)는 최대 14억명 이상 사용자들에게까지 영향을 수 있다고 설명했다.
취약점은 공격자가 안드로이드폰 사용자가 특정 웹사이트에 접속을 유도하거나 음악 및 동영상플레이어와 같은 서드파티 애플리케이션에서 악성코드가 삽입된 mp3 오디오파일이나 mp4 비디오파일을 열어보도록 하는 방법으로 감염시킨다.
이밖에도 드레이크는 공격자가 공격대상이 암호화하지 않은 상태로 송수신하는 네트워크 트래픽을 가로채 악성코드를 주입한 뒤 재전송하는 수법에 이 취약점이 악용될 수도 있다고 덧붙였다. 이런 수법을 쓰게되면 공격대상이 특정파일을 열거나 클릭, 혹은 외부 링크에 접속하지 않더라도 감염시킬 수 있게 된다.
구글 대변인은 "오는 5일 넥서스에서 새로운 취약점에 대한 패치를 적용할 것이며 안드로이드 기기 제조사나 이동통신사들에게는 이미 9월10일께 패치를 공유해 각 사 일정에 맞게 적용하게 될 것"이라고 설명했다.
구글측은 현재 새로운 스테이지프라이트 취약점에 대해 삼성전자, LG전자, HTC, 소니, 모토롤라, 레노버, 화웨이 등에 알렸으며, 이들 제조사로부터 패치 계획에 대해 확인하는 중이다.
외신에 따르면 모토롤라 대변인은 "이 취약점과 함께 이미 구글이 패치를 배포한 다른 취약점들에 대해 해결할 것"이라고 밝혔다.
관련기사
- 문자만으로 공격 가능한 안드로이드 취약점 또 발견2015.10.02
- 시만텍, 문자 수신만해도 감염되는 악성코드 대응책 발표2015.10.02
- "안드로이드폰 10억대, 악성코드에 무방비 노출"2015.10.02
- 왜 안드로이드폰만 많이 공격 당할까?2015.10.02
스테이지프라이트는 안드로이드폰의 태생적인 한계를 드러냈다는 지적도 나왔다. 구글이 안드로이드에서 발견된 취약점에 대해 패치를 제조사나 이통사에 배포한다고 하더라도 각 사마다 다른 기기에 이를 적용하는 작업이 수주일에서 길게는 수개월까지 걸리는 탓이다.
드레이크는 새로 발견한 취약점은 이미 8월15일에 구글에 알렸으며, 이후에도 트위터를 통해 8개 이상 관련 취약점을 발견했다고 설명했다.
