수백만명의 안드로이드 사용자가 새로운 Metaphor 공격 위험에 노출되었다. 이스라엘 보안회사 노스비트(NorthBit)社는 삼성, LG, HTC 폰을 20초 이내에 제어할 수 있는 안드로이드 취약점에 대한 PoC를 발표했다. Metaphor라 불리는 이 PoC를 이용하면 공격자는 상대방 폰에 접속해 맬웨어를 심어 스마트폰 핵심 기능을 제어할 수 있다.
공격은 동영상 링크로 가장한 메시지를 전송해 사용자가 링크를 클릭하면 코드가 실행되어 동영상 플레이어가 종료 후 재실행 되면서 스마트폰의 하드웨어와 소프트웨어 관련 데이터가 공격자에게 전송된다. 공격자는 해당 정보를 토대로 취약점을 확인해 새로운 동영상과 맬웨어를 폰으로 전송한다. 맬웨어는 폰의 모바일 브라우저에서 익스플로잇되어 공격자는 폰을 제어할 수 있게 된다.
이 취약점은 안드로이드폰 취약점 중 하나인 스테이지프라이트(Stagefright)과 연관된 취약점으로 넥서스 5, LG G3, HTC One, 삼성 갤럭시 S5가 영향을 받으며, 안드로이드 2.2, 4.0, 5.0, 5.1을 사용하는 폰들도 해당된다고 노스비트사는 밝혔다.
스테이지프라이트 취약점이 최초 발견된 것은 2015년 7월로, 구글은 20번도 넘게 미디어서버를 패치한 바 있다. 지난 주에도 구글은 스테이지프라이트 관련 치명적 취약점 2개에 대한 패치를 발표했다. 노스비트는 미디어서버 컴포넌트(component)에서 ASLR(Address Space Layout Randomisation)을 우회하는 방법을 발견했으며, 기기마다 설정이 조금씩 다른 관계로 ASLR을 우회하려면 기기에 관한 정보가 필요한데 이 취약점을 이용하면 ASLR 우회에 필요한 정보 수집이 가능하며, 상대방 폰으로 전송한 미디어 파일에 인코딩한 자바스크립트 메타데이터를 실행할 수 있다고 설명했다.
미국 보안회사 베라코드(Veracode) VP Chris Eng는 안드로이드폰은 종류도 많고 기기도 다양해서 취약점 패치가 특히 문제라고 지적했다.
출처:
노스비트社 보고서(PDF)
ThreatPost
