스테이지프라이트

3. 기술적 특징

짐페리움 보안 회사의 조슈아 드레이크가 2015년 7월 27일에 스테이지프라이트 버그를 처음 공개 발표했다. 드레이크는 2015년 4월에 이 버그를 구글에 보고했고, 구글은 이틀 만에 관련 버그 수정을 내부 소스 코드 저장소에 통합했다.^[3][4][5][6] 2015년 7월, 예브게니 레제로프는 스테이지프라이트 라이브러리에서 최소 두 개의 유사한 힙 오버플로우 제로데이 취약점을 발견했다고 발표하며, 이 라이브러리가 오랫동안 악용되어 왔다고 주장했다. 레제로프는 자신이 발견한 취약점들이 드레이크가 제출한 패치로 인해 더 이상 악용될 수 없다고 확인했다.^[2][15]

드레이크는 2015년 8월 5일 블랙 햇 브리핑 USA 컴퓨터 보안 컨퍼런스와 8월 7일 DEF CON 23 해커 컨벤션에서 스테이지프라이트 버그를 전면 공개했다.^[6][16][17] 2015년 8월 5일, 짐페리움은 소스 코드와 실제 패치, 그리고 안드로이드 기기가 취약한지 테스트하는 "Stagefright detector" 앱을 공개했다.^[12][20]

2015년 8월 13일, 엑소더스 인텔리전스는 또 다른 스테이지프라이트 취약점(CVE-2015-3864)을 공개했다.^[13] 이 취약점은 기존 수정 사항으로 완화되지 않았다. 시아노젠모드 팀은 같은 날 CVE-2015-3864에 대한 패치가 시아노젠모드 12.1 소스에 통합되었다고 발표했다.^[21]

2015년 10월 1일, 짐페리움은 스테이지프라이트 2.0으로 알려진 추가 취약점(CVE-2015-6602)을 공개했다. 이 취약점은 특수하게 제작된 MP3 및 MP4 파일 재생 시 페이로드를 실행하며, 안드로이드의 핵심 라이브러리인 libutils에서 발견되었다. 안드로이드 1.5부터 5.1까지가 이 공격에 취약하며, 약 10억 대의 기기가 영향을 받는 것으로 추정된다.^[22]

4. 영향 및 파장

스테이지프라이트 버그는 안드로이드 패치 배포와 관련된 기술적, 조직적 어려움을 부각시켰다.^[4][26] 이러한 문제점을 해결하기 위한 시도로, 2015년 8월 1일 짐페리움은 'Zimperium Handset Alliance'(ZHA)를 결성했다.^[12][18][27]

4. 1. 안드로이드 업데이트 문제점

4. 2. Zimperium Handset Alliance (ZHA)

5. 대응 및 완화

스테이지프라이트 버그에 대한 완화책으로는 패치되지 않은 버전의 안드로이드 기기에서 MMS 메시지의 자동 검색을 비활성화하고, 알 수 없는 발신자로부터의 문자 메시지 수신을 차단하는 것이 있다. 그러나 구글 행아웃 앱과 같이 일부 MMS 앱에서는 이러한 기능을 지원하지 않으며,^[2][4] 기기의 웹 브라우저를 사용하여 악성 멀티미디어 파일을 열거나 다운로드하는 등 다른 방식으로 스테이지프라이트 버그가 악용될 수 있는 모든 공격 벡터를 다루지는 않는다.^[7][28]

주소 공간 배치 난수화(ASLR) 기능은 안드로이드 4.0 "아이스크림 샌드위치"에 도입되었고, 안드로이드 4.1 "젤리 빈"에서 완전히 활성화되면서 추가적인 완화 효과를 제공할 것으로 예상되었다.^[7][29] 그러나 2016년에는 ASLR을 우회하는 [https://github.com/NorthBit/Metaphor Metaphor]와 같은 익스플로잇이 발견되었다.

안드로이드 5.1 "롤리팝" 버전에는 스테이지프라이트 버그에 대한 패치가 포함되어 있으며,^[11][30] 안드로이드 10부터는 소프트웨어 코덱이 샌드박스로 이동하여 이 위협을 효과적으로 완화한다.^[7][31]

5. 1. 구글의 대응

5. 2. 사용자의 대응

5. 3. 기술적 완화

참조

_[1] 웹사이트 Stagefright: Everything you need to know about Google's Android megabug http://fortune.com/2[...]
_[2] 웹사이트 How to Protect from StageFright Vulnerability http://blog.zimperiu[...] 2015-07-31
_[3] 간행물 "'Stagefright' Android bug is the 'worst ever discovered'" https://www.wired.co[...] 2015-07-28
_[4] 뉴스 Stagefright: Just how scary is it for Android users? https://www.zdnet.co[...] 2015-07-28
_[5] 뉴스 "Stagefright: new Android vulnerability dubbed 'heartbleed for mobile'" https://www.theguard[...] 2015-07-29
_[6] 웹사이트 Experts Found a Unicorn in the Heart of Android http://blog.zimperiu[...] 2015-07-28
_[7] 웹사이트 Vulnerability Note VU#924951 – Android Stagefright contains multiple vulnerabilities https://www.kb.cert.[...] CERT 2015-07-31
_[8] 웹사이트 Android Interfaces: Media http://source.androi[...] 2015-07-28
_[9] 웹사이트 platform/frameworks/av: media/libstagefright https://android.goog[...] 2015-07-31
_[10] 웹사이트 Simple Text Message to Hack Any Android Phone Remotely http://thehackernews[...] 2015-07-28
_[11] 간행물 Stagefright: Everything you need to know about Google's Android megabug http://fortune.com/2[...] 2015-07-29
_[12] 웹사이트 Stagefright: Vulnerability Details, Stagefright Detector tool released https://blog.zimperi[...] 2015-08-25
_[13] 웹사이트 Stagefright: Mission Accomplished? https://blog.exodusi[...] 2015-10-08
_[14] 웹사이트 Stagefright Detector - Apps on Google Play https://play.google.[...]
_[15] 간행물 "Russian 'Zero Day' Hunter Has Android Stagefright Bugs Primed For One-Text Hacks" https://www.forbes.c[...] 2015-07-31
_[16] 웹사이트 Stagefright: Scary Code in the Heart of Android https://www.blackhat[...] 2015-08-25
_[17] 웹사이트 Stagefright: Scary Code in the Heart of Android https://www.defcon.o[...] 2015-08-25
_[18] 웹사이트 ZHA – Accelerating Roll-out of Security Patches https://blog.zimperi[...] 2015-08-25
_[19] 웹사이트 Change Ie93b3038: Prevent reading past the end of the buffer in 3GPP https://android-revi[...] 2015-08-25
_[20] 웹사이트 Stagefright Detector Detects if Your Phone Is Vulnerable to Stagefright http://lifehacker.co[...] 2015-08-25
_[21] 웹사이트 More Stagefright http://www.cyanogenm[...] 2015-08-15
_[22] 웹사이트 Stagefright 2.0 Vulnerabilities Affect 1 Billion Android Devices https://threatpost.c[...] 2015-10-01
_[23] 웹사이트 "950M phones at risk for 'Stagefright' text exploit thanks to Android fragmentation" http://www.extremete[...] 2015-07-31
_[24] 간행물 There's (Almost) Nothing You Can Do About Stagefright https://www.pcmag.co[...] 2015-07-31
_[25] 웹사이트 StageFright: Android's Heart of Darkness https://www.eff.org/[...] Electronic Frontier Foundation 2015-08-02
_[26] 웹사이트 The 'Stagefright' exploit: What you need to know http://www.androidce[...] Android Central 2015-07-29
_[27] 웹사이트 Zimperium Releases Stagefright Vulnerability Detector http://www.tomshardw[...] Tom's Hardware 2015-08-25
_[28] 웹사이트 Stagefright: Scary Code in the Heart of Android – Researching Android Multimedia Framework Security https://www.blackhat[...] 2015-08-25
_[29] 웹사이트 Exploit Mitigations in Android Jelly Bean 4.1 https://www.duosecur[...] 2015-07-31
_[30] 웹사이트 Google Promises a Stagefright Security Update For Nexus Devices Starting Next Week http://www.androidpo[...] 2015-07-31
_[31] 웹사이트 Queue Hardening Enhancements https://android-deve[...] 2019-09-25
_[32] 뉴스 문자 하나로 안드로이드폰 95% 뚫린다… 치명적 결함 발견 https://news.naver.c[...] 국민일보 2015-08-26
_[33] 뉴스 안드로이드폰 95% "문자 한 줄로도 신용카드 정보 해킹" 정말? https://news.naver.c[...] 중앙일보 2015-08-26
_[34] 뉴스 안드로이드폰 95% 보안 취약…문자메시지 수신만 해도 해킹 노출 https://news.naver.c[...] 한국경제 2015-08-26
_[35] 웹인용 Stagefright: Everything you need to know about Google's Android megabug http://fortune.com/2[...] 포춘 2015-07-29
_[36] 웹인용 Stagefright: Vulnerability Details, Stagefright Detector tool released https://blog.zimperi[...] 2015-08-05
_[37] 웹인용 Stagefright: Mission Accomplished? https://blog.exodusi[...] 2015-08-13
_[38] 뉴스 스테이지프라이트 취약점 유무 여부 판단 앱 출시돼 http://www.itworld.c[...] IT월드 2015-08-26
_[39] 뉴스 안드로이드 취약점 알려주는 앱 http://techholic.co.[...] 테크홀릭 2015-08-26
_[40] 뉴스 구글, 안드로이드 MMS 취약점 패치...삼성 준비중 http://www.ittoday.c[...] 아이티투데이 2015-08-26
_[41] 뉴스 스테이지프라이트 취약점 여전, 구글 패치도 막지 못해 https://news.naver.c[...] 매일경제 2015-08-26
_[42] 뉴스 구글, StageFright 취약점 위한 두번째 보안패치 배포 http://www.kbench.co[...] 케이벤치 2015-08-26