빈꿈 EMPTYDREAM

안드로이드 폰에서 MMS를 받는 것만으로도 해킹 당할 수 있다고 한다. 이 사실이 발표된 것은 좀 됐는데, 나도 처음 접했을 때는 '에이, 설마' 했다. 뭔가 다운받거나 해서 해킹되는 것을 과장했겠지 했었고. 그런데 그게 아니었다. 진짜로 MMS를 수신해서 보는 것만으로도 해킹 당할 수 있다. 이미 구글 쪽에서도 확인하고 버그 패치 작업에 들어갔다.

지난 7월 27일 쯤에 발표된 거라서 이미 알고 있는 분들도 많을 텐데, 이상하게 국내에서는 널리 알려진 것 같지가 않다. 그중에는 나처럼 '에이 설마'하고 있는 분들도 분명히 있을 테고.

* "문자 단 한줄에 해킹, 안드로이드폰 치명적 결함 발견" (헤럴드경제)

* "문자 전송만으로 해킹 가능" 안드로이드폰 95% 보안 비상 (경향신문)

* Nasty Bug Lets Hackers Into Nearly Any Android Phone Using Nothing But A Message (TC)

안드로이드 2.2 버전 이상부터 존재하는 버그라서, 해커들이 이걸 이용할 악성코드를 만들고 배포하면 전 세계적으로 피해가 커질 수도 있는 상황이다. 그런데 구글 쪽에서는 이 버그 패치를 롤리팝, 키캣만 제공하겠다고 발표했다.

* 안드로이드폰 해킹 보안 패치, '롤리팝·키캣'만 제공 (이데일리)

그 이전 버전인 젤리빈, 아이스크림 샌드위치, 진저 브래드, 프로요 등은 버그 패치 대상에 포함되지 않았는데, 이걸 완전히 버릴 건지 일단 상위 버전만 패치 하는 건지는 아직 잘 모르겠다. 이것 때문에 유저들의 항의가 많은 상태이기도 하다.

(Stagefright 버그 로고. 버그가 좀 심각한 거라서 로고까지 있다.)

이런 와중에 어제는 삼성과 구글이 매월 1회씩 안드로이드 보안 업데이트를 하겠다고 발표했다. PC에 연결하는 방식이 아닌, 무선 상에서 바로 다운받아 할 수 있는 OTA(over the air) 방식으로 제공할 계획이라고.

* 삼성-구글, 월 1회 안드로이드기기 보안 업데이트 (지디넷코리아)

* Google And Samsung Will Now Release Monthly OTA Android Security Updates (TC)

구글은 넥서스(Nexus) 시리즈를 이미 가끔씩 업데이트를 해주고 있는 것으로 알고 있다. 따라서 매월 보안 업데이트를 해주는 게 충분히 가능하다. 그런데 삼성의 경우는 일단 발표를 하긴 했는데, 어떤 기종이 대상이고 어떻게 업데이트를 해 줄 것인지 등을 아직 밝히지 않은 상태다.

어쨌든 이번 버그의 보안 업그레이드가 되기 전까지는 안드로이드 유저들은 "MMS 자동 수신" 설정을 꺼두는 게 좋겠다. 물론 꺼뒀어도 받은 MMS를 열어본다면 해킹 당할 수도 있다. 따라서 아는 사람의 메시지만 열어보는 조심성도 필요하다.

p.s.

LG도 주기적 업데이트 하겠다고 발표했다고.

* Samsung, Google and LG take action to prevent another Stagefright: 'Mother of all Android bugs' scares smartphone makers into rolling out monthly security updates (dailymail)

그런데 이 와중에 또 사건 하나가 터졌다. 안드로이드 폰에서 지문을 해킹해서 훔쳐낼 수 있다는 것.

* 안드로이드폰 지문정보 훔치는 공격법 공개 (지디넷코리아)