PROFILPELAJAR.COM

스테이지프라이트
CVE 식별자	CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828, CVE-2015-3829, CVE-2015-3864 (Stagefright 1.0),; CVE-2015-6602 (Stagefright 2.0)
발견일	2015년 7월 27일(9년 전)
패치일	2015년 8월 3일(9년 전)
발견자	Joshua Drake (Zimperium)
영향을 받는 소프트웨어	Android 2.2 "Froyo" 이상 (Stagefright 1.0),; Android 1.5 "Cupcake" ~ Android 5.1 "Lollipop" (Stagefright 2.0)

스테이지프라이트(Stagefright)는 2.2버전에서부터 그 이후까지의 안드로이드 운영 체제에서 원격으로 조종되어 취약점 공격을 받을 수 있는 소프트웨어 버그이다. ^[1]^[2]^[3] 이 버그는 공격자가 안드로이드 기기를 공격할 때, 공격자가 악성 코드를 희생자의 안드로이드 기기에 심어 원격 작업을 가능하게 한다. 유용성 증명이 함께 쓰여진 버그를 이용하여 안드로이드 필수 요소중 하나인 "스테이지 프라이트"라는 멀티미디어 라이브러리를 공격하면, 악성코드가 심어진 MMS 메시지를 기기에 보내고 악성코드를 심을 수 있게 된다. 이 과정에서 최종 사용자 권한은 메시지를 받는데 전혀 필요하지 않아 사용자는 알 수 없으며, 이런 타겟팅에 필요한 정보는 오직 핸드폰 번호뿐이다. 밝혀진 보안 취약점들은 CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828, CVE-2015-3829 그리고 CVE-2015-3864 (후자는 나중에 배정되었음)이며, 이들을 통틀어 스테이지 프라이트라고 부른다.^[4]^[5]^[6]

취약 지점 확인 방법

구글 플레이 스토어에서 짐페리움(Zimperium) 사의 스테이지프라이트 디텍터(Stagefright Detector) 앱을 설치하는 것으로 취약점을 확인할 수 있다.^[7] 그러나 이 애플리케이션이 보안취약점을 해결해주는 것은 아니다.^[8]

구글의 대응

구글은 2015년 8월 5일 첫 번째 보안 패치를 배포했으나^[9] 스테이지프라이트 취약점 문제를 막는데 실패하고^[10] 두 번째 보안 패치를 배포했다.^[11]

같이 보기

안드로이드 버전 역사

각주

↑ 박상은 기자 (2015년 7월 28일). “문자 하나로 안드로이드폰 95% 뚫린다… 치명적 결함 발견”. 국민일보. 2015년 8월 26일에 확인함.
↑ 온라인 중앙일보 (2015년 7월 29일). “안드로이드폰 95% "문자 한 줄로도 신용카드 정보 해킹" 정말?”. 중앙일보. 2015년 8월 26일에 확인함.
↑ 한경닷컴 뉴스팀 (2015년 7월 29일). “안드로이드폰 95% 보안 취약…문자메시지 수신만 해도 해킹 노출”. 한국경제. 2015년 8월 26일에 확인함.
↑ Robert Hackett (2015년 7월 28일). “Stagefright: Everything you need to know about Google's Android megabug”. Fortune. 2015년 7월 29일에 확인함.
↑ “Stagefright: Vulnerability Details, Stagefright Detector tool released”. 《zimperium.com》. 2015년 8월 5일. 2015년 8월 25일에 확인함.
↑ Jordan Gruskovnjak; Aaron Portnoy (2015년 8월 13일). “Stagefright: Mission Accomplished?”. 《exodusintel.com》. 2015년 10월 8일에 확인함.
↑ Derek Walter (2015년 8월 10일). “스테이지프라이트 취약점 유무 여부 판단 앱 출시돼”. IT월드. 2015년 8월 26일에 확인함.
↑ 이원영 칼럼니스트 (2015년 8월 11일). “안드로이드 취약점 알려주는 앱”. 테크홀릭. 2015년 8월 26일에 확인함.
↑ 정일주 기자 (2015년 8월 6일). “구글, 안드로이드 MMS 취약점 패치...삼성 준비중”. 아이티투데이. 2016년 3월 4일에 원본 문서에서 보존된 문서. 2015년 8월 26일에 확인함.
↑ 김남욱 (2015년 8월 17일). “스테이지프라이트 취약점 여전, 구글 패치도 막지 못해”. 매일경제. 2015년 8월 26일에 확인함.
↑ 전인수 기자 (2015년 8월 6일). “구글, StageFright 취약점 위한 두번째 보안패치 배포”. 케이벤치. 2015년 8월 26일에 확인함.

[1] 박상은 기자 (2015년 7월 28일). “문자 하나로 안드로이드폰 95% 뚫린다… 치명적 결함 발견”. 국민일보. 2015년 8월 26일에 확인함.

[2] 온라인 중앙일보 (2015년 7월 29일). “안드로이드폰 95% "문자 한 줄로도 신용카드 정보 해킹" 정말?”. 중앙일보. 2015년 8월 26일에 확인함.

[3] 한경닷컴 뉴스팀 (2015년 7월 29일). “안드로이드폰 95% 보안 취약…문자메시지 수신만 해도 해킹 노출”. 한국경제. 2015년 8월 26일에 확인함.

[fortune-4] Robert Hackett (2015년 7월 28일). “Stagefright: Everything you need to know about Google's Android megabug”. Fortune. 2015년 7월 29일에 확인함.

[zimperium-detector-5] “Stagefright: Vulnerability Details, Stagefright Detector tool released”. 《zimperium.com》. 2015년 8월 5일. 2015년 8월 25일에 확인함.

[exodusintel-6] Jordan Gruskovnjak; Aaron Portnoy (2015년 8월 13일). “Stagefright: Mission Accomplished?”. 《exodusintel.com》. 2015년 10월 8일에 확인함.

[7] Derek Walter (2015년 8월 10일). “스테이지프라이트 취약점 유무 여부 판단 앱 출시돼”. IT월드. 2015년 8월 26일에 확인함.

[8] 이원영 칼럼니스트 (2015년 8월 11일). “안드로이드 취약점 알려주는 앱”. 테크홀릭. 2015년 8월 26일에 확인함.

[9] 정일주 기자 (2015년 8월 6일). “구글, 안드로이드 MMS 취약점 패치...삼성 준비중”. 아이티투데이. 2016년 3월 4일에 원본 문서에서 보존된 문서. 2015년 8월 26일에 확인함.

[10] 김남욱 (2015년 8월 17일). “스테이지프라이트 취약점 여전, 구글 패치도 막지 못해”. 매일경제. 2015년 8월 26일에 확인함.

[11] 전인수 기자 (2015년 8월 6일). “구글, StageFright 취약점 위한 두번째 보안패치 배포”. 케이벤치. 2015년 8월 26일에 확인함.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]