PGR21.com
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
Date 2015/07/29 10:54:45
Name Leeka
Subject [일반] 안드로이드 최대 보안이슈가 터졌습니다.
보도 자료들
http://money.cnn.com/2015/07/27/technology/android-text-hack/index.html?iid=hp-toplead-dom

클리앙에 요약된 글들
http://www.clien.net/cs2/bbs/board.php?bo_table=news&wr_id=2025744

국내 기사
http://www.kbench.com/?q=node/153462

짧게 요약하면

안드로이드의 취약점을 이용해서

코드가 심어진 문자를 보내면, '이용자가 문자를 받는 그 순간'(수신 확인이 아니라, 폰으로 문자가 오는 순간)
바로 해당폰의 모든 권한을 해커가 획득하게 되는 보안 취약점이 터졌습니다.


가능한 이유는.. 문자를 받을 때, 구글에서 자체적으로 '확인을 하는데' 그 확인 과정에서 권한을 탈취한다고 보시면 됩니다. - -;



현재 임시 해결법은

1. 사용중인 문자 프로그램에 들어감
2. 옵션에서 멀티미디어 메시지 항목에 들어감
3. 멀티미디어 메시지 옵션의 '자동으로 받기' '자동 획득' 등으로 쓰인 옵션을 꺼줌
4. MMS에 첨부된 멀티미디어를 열어보지 말것.

위와 같은 식으로 설정을 해주시고

행아웃도 마찬가지로 세팅해주셔야 됩니다. -.-;


구글에서는 현재 대응을 진행했습니니다만. 안드로이드 특성상 '제조사가 업데이트'를 안해주면 보안패치가 적용이 안됩니다.

-.-;;;;;

사실상 지원이 끝난 안드폰을 쓰시는 분들은 알아서 조심하시는 수밖에..


해당되는 안드폰은 현재 기준, 안드폰의 95%이며. 대수로는 9억 5천만대 정도의 안드폰이 해당 취약점에 노출되어 있습니다.

통합규정 1.3 이용안내 인용

"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.
법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
엔하위키
15/07/29 10:58
수정 아이콘
역시 국정원과 방통위가 성능을 보장한 아이폰으로 갈아타야합니다.
15/07/29 11:18
수정 아이콘
일겅
사상최악
15/07/29 10:58
수정 아이콘
무서워서 바로 해제했네요...
그런데 자동 확인을 꺼도 결국 수신확인하는 순간 해킹되는 건 어쩔 수 없는 거죠? 링크 같은 걸 안 누르더라도요?
김연우
15/07/29 10:58
수정 아이콘
후딱 약정이 끝나야하는데...
그래야 국가가 인정한 아이폰을 쓰지.
ArcanumToss
15/07/29 10:59
수정 아이콘
푸하... 안드로이드폰과는 이제 배드바이를 해야겠군요.
15/07/29 11:00
수정 아이콘
사실이라면 역대급 보안사고군요.
알베르토
15/07/29 11:01
수정 아이콘
http://bbs2.ruliweb.daum.net/gaia/do/ruliweb/default/mobile/55/read?articleId=1800636&bbsId=G003&itemGroupId=2&pageIndex=1

안드로이드 문자 취약점을 다른 앱으로도 공격 가능하다고 합니다.
OS에 있는 미디어 관련 기능 취약점을 이용하는 가장 쉬운 방법이 '문자'인 것이고 OS상 문제이기 때문에 다른 앱을 이용해서 공격할 수 있다네요.
15/07/29 11:04
수정 아이콘
일단 문자는 '내가 아무것도 설치도 안하고 확인도 안하고 걍 폰을 버려둿는데도 바로 당하는' 거기때문에 -.-;;
문자 이슈가 사실 젤 크리티컬하죠..

물론 미디어 취약점 자체가 문제지만...
15/07/29 11:01
수정 아이콘
처음에 그렇게 폐쇄적으로 만든다고 스티브 잡스 엄청 까였던거 같은데
몇년이 지나고 나니 의도하지 않게 재평가가 되네요.
물론 처음 기획했던거에 비해 많이 열리긴 했지만..
에이핑크초롱
15/07/29 11:02
수정 아이콘
아 약정 1년 넘게 남았는데ㅠㅠ 지금까지 아이패드는 썼어도 폰은 안드로이드만 썼었는데... 약정 끝나면 아이폰 써야겠네요.
15/07/29 11:02
수정 아이콘
진리의 넥서스 를 느낍니다
Cliffhanger
15/07/29 11:13
수정 아이콘
넥서스는 업데이트가 된건가요?
15/07/29 11:17
수정 아이콘
넥서스는 업데이트 되었습니다. -.-)

구글에서 보안패치를 진행했는데. 넥서스는 구글 레퍼런스라서 바로 올라간 상태이며
나머지 폰들은 제조사에서 업데이트 한 경우에만 안전합니다.
Cliffhanger
15/07/29 11:23
수정 아이콘
감사합니다. 역시 진리의 레퍼런스군요.
人在江湖
15/07/29 11:55
수정 아이콘
sayse0612
15/07/29 11:04
수정 아이콘
안티 애플에 가까웠는데...이젠 별수없게됐네요...
15/07/29 11:12
수정 아이콘
으으 ...
나의 s5가 해커들의 먹잇감이라니 ....
ArcanumToss
15/07/29 11:14
수정 아이콘
음... 스마트폰을 버리고 그냥 2G폰을 써야겠군요.
이제 내 최고의 폰은 강력한 보안 기능을 갖춘 2G폰~~!
소신있는팔랑귀
15/07/29 11:14
수정 아이콘
다음 폰은 선택의 여지가 없겠네요. 킁
OpenPass
15/07/29 11:23
수정 아이콘
받기만 해도 권한 부여라니 ㅠㅠ 일단 Off는 했는데 이걸 어찌해야 할런지 허허...
SoulCrush
15/07/29 11:24
수정 아이콘
MMS 메시지의 경우 OS에서 전처리를 하는데
텍스트외 첨부파일(미디어 등)도 함께 전처리가 되면서 발생하는 보안이슈로
지난 4월9일 Zimperium에서 구글에 알리고 패치도 제공

구글 내부적으로 90일간의 처리 기간을 갖고 있으나 109일이 지난 현재까지
적절한 조치가 취해지지 않아 뉴스로 알려지게 됨

보안 문제가 있는 폰은 지난 5년간 출시된 거의 모든 안드로이드 폰으로 (Froyo(프로요)부터 최근 (Lolipop)롤리팝)
애플의 경우 유사 사례가 있었으나 일괄 업데이트로 해소된 반면에 (아이폰을 쓰지 않아 잘 모르겠군요)
안드로이드는 OS 버전도 여러가지고 제조사마다 조치를 해야 하는 문제로 대응이 쉽지 않은 상황

패치로 수정되기 전까지 MMS 옵션 설정이 어려운 가족들의 경우
MMS 수신을 못하도록 부가서비스를 변경하거나
MMS 옵션 설정이 가능한 경우 설정후 MMS 수신시 지인 외의 MMS는 클릭하지 않아야 함

일해라 삼성.
오늘뭐먹지
15/07/29 11:25
수정 아이콘
문자는 알려주신 대로 세팅했는데 행아웃은 한 번도 사용하지 않은 경우에도 세팅해주어야 하나요? 켜 본 적도 없어서요.
아무튼 지금 쓰는 폰 약정도 얼마 안 남았겠다 기회만 되면 바로 아이폰으로 갈아타야겠네요;
방민아
15/07/29 11:31
수정 아이콘
저도 안켜봐서 오늘 처음 켜봤습니다. 결론은 안켜본분들은 설정안하셔도 됩니다. 기능들 다 꺼져있더군요. 아무생각없이 건드리다가 켜버렸..ㅜㅜ
영원이란
15/07/29 11:31
수정 아이콘
모든 권한을 탈취할 수 있다는 잘못된 표현인거 같고요. 이런식의 취약점은 아이폰이라고 100% 안전하다고 볼 수 없습니다. 하트 블리드 사태가 생각나는데 그때와 다른점은 업데이트가 어려워서 취약점에 노출된 기기에 대한 대응이 .... 힘들다는 안드로이드 기기의 특성이 심각한 부분이겠군요.
15/07/29 11:34
수정 아이콘
아이폰은 보안패치가 일괄적으로 되기 때문에. 애플에서 해결만 하면 거의 모든 아이폰은 안전해지죠 - -;;
이게 이정도로 문제가 커지는건 안드로이드 생태계의 이슈가 더 크고..
생태계가 하루아침에 변할일이 아니라서, 안드로이드 보안 이슈는 앞으로 더 커질 확률이 높습니다.

그리고 아이폰은 문자로 할 수 있는 권한이 안드와 다르게 극히 제한적이라서 이런 류에선 더 안전합니다..
영원이란
15/07/29 11:36
수정 아이콘
커널단의 취약점이기 때문에 아이폰이라고 마냥안전할거라고 생각하는건 오산입니다. 허용되지 않은 권한을 얻는거니까요. 하트 블리드 사태와 매우 흡사합니다.
15/07/29 11:42
수정 아이콘
하트블리드 방식이면 그렇지만
말씀하신것처럼 아이폰은 보안패치가
안드보다 압도적으로빠를수밖에없는구조라서
이 생태계덕에 보안격차는 벌어질수밖에 없지않나싶네요
영원이란
15/07/29 11:45
수정 아이콘
네 이 문제는 패치가 어렵다는 안드로이드 특성 때문에 발생하는거죠. 아이폰도 은근히 os업데이트를 하지 않는 사용자가 있고 지원이 중단된 기기도 있어 이 문제에서 100% 자유롭다고 보긴 어렵습니다.
15/07/29 14:06
수정 아이콘
실제로 문제가 발생한 것과 발생 가능성이 있다는 건 하늘과 땅차이죠
지금 당장 시급한 쪽은 발생한 쪽이지, 발생 가능성이 있는 쪽이 아닐텐데요.
starmaze
15/07/29 14:25
수정 아이콘
알려지지 않아서 그렇지 아이폰은 그리 먼 과거가 아닌 바로 작년 말에 이와 비슷한 수준의 취약점을 발견한 해커가 있었습니다.
leeka님이 말씀하신 대로 생태계 쪽에서 접근하는 것이 옳다고 봐요
마술사얀
15/07/29 15:41
수정 아이콘
혹시 아랍어로 문자 보내면 기기가 재부팅하는 버그 말씀하신거라면. 해킹하고는 별 상관없는 내용 같군요.
starmaze
15/07/29 16:42
수정 아이콘
당연히 그건 아닙니다...
랜덤여신
15/07/29 11:31
수정 아이콘
근데 저 옵션을 꺼도 결국 MMS를 확인하려면 열어는 봐야 할 텐데, 난감하군요. 보낸 사람을 확인하고 열어봐야겠습니다.
15/07/29 11:32
수정 아이콘
업데이트 관련해서 제조사가 지원을 해야 해결이 되는데 이 중간에 아마 통신사업자가 껴서 복잡한 관계가 있을겁니다.

이전에도 Nexus One시절부터 OTA가 해외롬은 바로바로 터지는데 국내롬이 늦춰지는 이유때부터 시작된거로 아는데요..

링크에 올려주신 CNN에도 관련내용이 간단히 정리되었지만(오역일 수 있으니 영어 잘하시는 분 계시면 다시 한번 검토 부탁드립니다) 제조사가 펌웨어를 만들어 보안패치를 바로 보내야 하는데 이 중간과정에 통신사업자가 검토를 하는 과정이 있어서 패치 전송에 지연시간이 발생하고 있는 것으로 압니다. 이 문제때문에 국내에서는 배포에 시간이 더 걸릴 수도 있을거라고 보구요.

간단하게 정리하면 치명적 보안이슈가 발생해서 패치를 해야 하는데...

1. Google 자체 생산 제품(Unlock)이면 OTA처리를 할 수 있으니 패치속도가 가장 빠름
2. 이외의 제조사가 생산한 제품이면 보안패치를 제작해서 별도로 패치를 시켜줘야 함.
3. 지원을 중단했으면 지속적으로 보안에 취약한 상태니 낭패
4. 지원을 해준다고 쳐도 통신사업자 등의 검토과정을 또 거쳐가야 하기 때문에 패치속도가 shit..

보안이슈 관련 이야기를 한 곳에서는 90일내에 패치를 할 수 있도록 유도를 하고 그동안은 보안결함에 대해 발표를 하지 않으나 결국 패치를 할 충분한 시간이 주어졌음에도 처리되지 않은(제조사가 만들어내는 개별적 안드로이드 기기들) 것에 대해 알리는것으로 결정하고 발표한것으로 보입니다.

결국은 기승전 안드로이드 생태계 문제점이죠...

저도 뭐 Nexus One - S - 잠깐 갤쓰리 - Nexus 5, 태블릿으로 Nexus 7(1세대) - 10 - 7(2세대) 쓰고 있는 구글덕후긴 한데, 치명적인 보안결함이네요 -_- 안타깝습니다.
문재인
15/07/29 11:36
수정 아이콘
폰으로 인터넷 뱅킹 등을 안하시고 인터넷도 차단하고 전화만 쓰시는 부모님 폰들은 그닥 상관없겠죠?
영원이란
15/07/29 11:40
수정 아이콘
아니요. 관련있습니다. 미디어 스캐너가 문제인거라 감염된 이미지를 불러올경우 바로 발생합니다.
문재인
15/07/29 11:42
수정 아이콘
아 제 질문을 더 구체적으로 말씀드리자면
딱히 전화 말고 다른거 안하시니까
감염 된다한들 뭘 할게 있나 싶어서요~
저는 이 글 읽고 바로 차단들어갔습니다~
방민아
15/07/29 11:45
수정 아이콘
그 번호로 피싱하면되죠. 연락처도 받아올 수 있고
문재인
15/07/29 11:46
수정 아이콘
네 그런게 가능하겠군요 차단해드려야겠습니다
방민아
15/07/29 11:41
수정 아이콘
아뇨. 상관있어요..
15/07/29 11:41
수정 아이콘
팬택은 망했엌....
뻐꾸기둘
15/07/29 11:42
수정 아이콘
정확히 말하면 안드로이드에서 제조사가 펌웨어 업데이트에 끼게 되니 발생하는 문제 같군요. 레퍼런스 기기는 바로 업데이트가 되서 비교적 안전한 것도 그렇고.

역시 안드는 레퍼런스 라인 따라가는게 진리인듯.
랜덤여신
15/07/29 11:43
수정 아이콘
찾아 보니 이 보안 버그를 발견한 Joshua Drake라는 연구자는 아직 자세한 내용을 공개하지 않았습니다. 그래서 현재까지 공격하는 방법은 이 사람(과 구글)밖에 모릅니다. 약간 안심이 될 수도 있는 이야기입니다만, 그 연구자의 말에 따르면 우연히 발견한 것이고 여타 해커들이 이 보안 버그를 발견할 가능성은 매우 낮다고 생각한다는군요.
15/07/29 12:02
수정 아이콘
모르는 상태에서 찾는 것은 어려울지도 모르나. 문제가 있다는 것을 알고 있다면 금방 찾을 수도 있을듯 합니다. 일단 패치가 올라왔으니 그 이전 버전과 diff만 해도 어느정도 찾지 않을까요?
랜덤여신
15/07/29 12:15
수정 아이콘
안드로이드는 정식 릴리스하기 전까지는 제한된 관계자(폰 제조사들)한테만 소스 코드를 공개합니다. 지금 올라온 패치는 제조사들만 알고 있는 것으로 알고 있습니다...만 아닌가요?

물론 내부 직원이 악용하면 큰일이지만요. 후후...
아이고 의미없다
15/07/29 11:44
수정 아이콘
팬택이 업데이트 해주려나요;;
지은이아영이
15/07/29 11:46
수정 아이콘
베시놋 사용자는 웁니다 ㅠ
이구치 유카
15/07/29 11:49
수정 아이콘
어머니 폰 해드려야 겠네요; 갤노트2 쓰시는데
랜덤여신
15/07/29 11:49
수정 아이콘
어, 다시 보니 '기본 메시지 앱'은 받자마자 감염되는 건 아니군요. 이 보안 버그는 동영상 파일의 섬네일을 생성할 때 트리거되는데, 기본 메시지 앱은 메시지를 받을 때가 아닌 직접 열어 볼 때 섬네일을 생성한다고 합니다. 반면에 행아웃은 받자마자 섬네일을 생성하고요. 따라서 기본 상태로 그대로 놓고 쓰시는 분이라면 행아웃을 메시지 뷰어로 쓸 때보다 위험도가 좀 낮다고 할 수 있겠습니다.
이니그마
15/07/29 11:53
수정 아이콘
안드진영의 위기네요.
오픈플랫폼의 한계같습니다. 어떻게 해도 돌파하기가 용이하니까요.
애플쪽의 폐쇄성이 결국 보안에는 답이었던걸까요...
영원이란
15/07/29 12:01
수정 아이콘
폐쇄성과는 관련이 없고 이 부분은 패치의 용이성 부분과 관련이 있습니다. 앱으로 인한 취약점이 아니니까요.

이런식의 버그는 아이폰에서도 얼마든지 발생할 수 있습니다. 차이점이라면 아이폰은 애플 단일회사가 관리하니 이후 대응이 더 용이하다 뿐이죠.
코카스
15/07/29 12:03
수정 아이콘
폐쇄성이 구체적으로 어떤 것을 의미하시는지 조금 헷갈리는데 패치 배포라는 측면에서는 애플이 모든 것을 좌우하는 iOS가 더 유리할 수 있습니다. 하지만 보안 취약성 발생 자체만을 놓고 보면 iOS에서도 jailbreakme 같은 일이 있었죠.
랜덤여신
15/07/29 12:12
수정 아이콘
오픈 소스의 보안성에 대해 자주 나오는 논쟁입니다. 어떤 사람은 소스 코드가 공개되어 있으니 취약점을 뚫기가 쉽다고 하고, 또 어떤 사람은 많은 눈이 보고 있어서 보안 버그가 바로바로 해결되니 오히려 더 안전하다고 하죠.

어디선가 주위 들은 말에 따르면 오픈 소스 소프트웨어와 그렇지 않은 소프트웨어의 보안 버그 발생 확률은 비슷하다고 합니다. (같은 목적, 같은 유명도의 경우) 이걸 보면 소스 코드 공개로 인한 이득과 손해가 비슷하다고 말할 수 있을지도 모르죠.

사실 보안 버그를 발견하는 데는 비-소스코드적인 방법도 많이 씁니다. 당장 윈도는 소스 코드가 공개되어 있지 않은데도 무수한 보안 버그가 발견되죠. 그렇다고 리눅스가 안전하다는 건 아니고, 얘도 비슷합니다. 또한 위에서 언급됐지만 iOS도 몇 년 전에 SMS 수신 시 일부 폰 권한이 탈취되는 버그를 겪었죠.

특히 이번 사례의 경우 오픈 플랫폼의 한계인 건 맞습니다만, 이건 오픈 플랫폼이 '돌파하기 쉬워서'라기보다는 오픈 플랫폼이다보니 중앙 통제를 덜 받는 것이 원인입니다. 보안 버그는 똑같이 발견되는데 중앙 통제를 하고 있는 iOS쪽이 보안 패치를 배포하기 더 쉽죠. 안드로이드는 일단 워런티가 있는지조차 의심스러운 수많은 중국 폰들이 있으니...
이니그마
15/07/29 12:31
수정 아이콘
설명감사합니다.

한가지더 궁금한것은 어플쪽으로 보안 뚫리는 것은 어떻게 해석해야하나요?
예를 들어 같은 카톡어플이라 하더라도 이번 국정원 사태의 경우에 아이폰 어플은 비껴가지 않았나요?
제가 잘못알고 있는건가요?
영원이란
15/07/29 12:39
수정 아이콘
카톡은 양쪽 다 해당이 없고 rcs는 롤리팝에서 작동하지 않습니다.
랜덤여신
15/07/30 23:00
수정 아이콘
댓글이 늦었습니다. 핸드폰에서 알림 확인하고 컴퓨터에서 답변해야지 했는데 까먹어버렸네요.

보통 스마트폰을 해킹하는 데는 여러 가지 방법이 있습니다.

1. 가짜 앱 설치. 카톡을 대상으로 한다면 카톡과 완전히 똑같이 생긴 앱을 핸드폰에 몰래 설치합니다. 사용자는 해커가 만든 가짜 카톡을 진짜 카톡인 줄 알고 쓰게 됩니다. 가짜 카톡은 진짜 카톡과 유사하게 동작하지만 단 하나 대화 기록을 몰래 해커에 전송한다는 점만 다릅니다.
2. 앱 자체의 보안 버그. 어떤 앱은 보안상 결함이 있어서 해커가 어떠한 조작을 가하면 술술 뱉어낼 수가 있습니다.
3. 운영 체제의 보안 버그. 운영 체제 자체의 결함을 이용해서 해커가 폰을 통째로 집어삼키는 경우를 말합니다.

1번은 너무 티가 나므로 일반적인 해법이 될 수는 없습니다. 그렇다면 2번 내지는 3번인데, 이번 국정원 해킹처럼 외주를 맡긴 경우에는 3번일 가능성이 높다고 봅니다. 카톡이라는 앱 자체는 자주 버전이 올라가고 또 사용자도 자주 업데이트를 해주는 경우가 많기 때문에 낡은 보안 버그는 쓸 수가 없죠. 반면에 사람들은 핸드폰 자체의 버그를 패치하는 펌웨어 업그레이드에는 인색한 면이 있습니다. 그래서 몇 년 된 보안 버그도 그대로 쓸 수 있는 경우가 많죠. 또한 이전 댓글에서 말했듯 제조사가 업데이트를 포기한 경우도 있고요.

따라서 앱 해킹이란 결국 안드로이드 해킹 or iOS 해킹으로 목표가 바뀌게 됩니다. 그렇다면 오픈 플랫폼이기 때문에 중앙 통제를 덜 받는 문제가 동일하게 적용된다고 할 수 있겠죠.

또한 보안 버그를 알아내는 것도 비용이기 때문에, 최소한 한국에서는 안드로이드를 대상으로 하는 공격이 많을 수밖에 없습니다. 같은 가격으로 더 많은 기기를 해킹할 수 있으니까요. 이건 마치 리눅스나 OS X용 바이러스가 거의 없는데 윈도용 바이러스는 많은 것과 비슷한 원리지요.
15/07/29 13:27
수정 아이콘
메인의 코어시스템에서 생긴 결함의 문제기 때문에 여러종(소프트웨어는 직접 만드나 기기제조를 외부로 넘기면서 개별적으로 파생된 여러개의 디바이스들)으로 분화된 상황에선 치명적이고 답이 없는 상황으로밖에 해결이 안될것 같습니다.

애플의 경우는 오픈플랫폼과 닫힌플랫폼의 경우보단 자사의 디바이스 종류가 매우 한정적이고 적은 종류가 있기 때문에 빠른 대처가 가능한게 장점인데다 실제적으로 유저가 뭔가를 할 수 있을만한 상황은 거의 없기 때문에(탈옥을 한다면 모르겠지만) 여러모로 좋다고 보입니다. 물론 탈옥이 워낙 쉽게 잘 되고 있는걸 보면 보안이 안전하냐고만 말하긴 또 -_-;

오픈플랫폼의 문제보다는 세분화가 너무 많이 되고 각각의 제조사가 직접 만들어낸 파생 제품의 개수가 너무 많아서 생긴 문제라고 보는게 맞다고 봐야 할 것 같습니다. 아싸리 리얼 오픈플랫폼이면 이런 상황에서 아예 패치를 제공해서 사용자가 그냥 설치하면 그만이어야 하는데 그게 아니다 보니... ㅠㅠ
랜덤여신
15/07/29 11:54
수정 아이콘
반면에 이 보안 버그가 MMS 수신뿐만 아니라 사용자가 직접 핸드폰으로 반입한 동영상 파일에도 적용되는지 확인해 봐야 할 것 같습니다. 이 경우 그냥 인터넷에서 주운 동영상을 핸드폰에 넣었더니 권한이 탈취되고 그럴 수가 있어서 위험도가 증가합니다. 이 연구자가 딱히 그 부분에 대해서는 별 말을 안 해서 알 수가 없습니다만 동영상 섬네일 생성 전반에 관련된 보안 버그라면 충분히 가능성이 있어 보이는군요.
방민아
15/07/29 11:56
수정 아이콘
stagefright의 보안성 문제인거 같던데, 개인적으론 가능하지 않을까 생각합니다.
영원이란
15/07/29 12:02
수정 아이콘
가능한 한 것으로 알고 있습니다.
15/07/29 12:06
수정 아이콘
일단 이문제의 경우는 h/w 디코더 문제가 아닌듯 보이고 이미지라면 jpeg나 still 이미지 쪽일듯 해서 stagefright 쪽이랑은 크게 상관 없을듯 보입니다.

하지만 말씀하신 내용은 충분히 가능 할듯 합니다. 하지만 동영상에 경우 codec 을 공격하는 방식은 fragementation 때문에 제한적인 기기에서만 발생할 듯 합니다.

--> 수정 stagefright쪽 이라는 군요. 그럼 프로요 부터 인게 이해가 가는군요.
아라리
15/07/29 12:11
수정 아이콘
힘을 내 팬택아 ㅠㅠㅠ
탱구와댄스
15/07/29 12:16
수정 아이콘
샘숭꺼 대부분 폰 보안 패치가 오늘이나 어제 업뎃이 됐던데 저거 관련이었나 보네요
영원이란
15/07/29 12:18
수정 아이콘
아니요. os자체 부분이라 삼성쪽 패치만으로는 힘들겁니다.
탱구와댄스
15/07/29 18:28
수정 아이콘
구글은 이미 대응을 했다고 했니까요. 보안 업데이트가 오늘자 깔린게 있어서 저거인줄....
랜덤여신
15/07/29 12:27
수정 아이콘
이때를 틈타 러스트를 영업해야겠습니다. 러스트를 사용하면 이런 보안 버그는 미연에 방지할 수 있습니다. 많이 사랑해주세요.

...는 아직 보안 버그의 자세한 내용이 나오지 않아서 근거 없는 추측이지만요. 하하. 하지만 문제가 된 부분이 C++쪽 코드인 걸 봤을 때, 보나마나 메모리쪽 버그가 아닐까 싶군요...
깡디드
15/07/29 14:44
수정 아이콘
러스트 관련 쓸만한 라이브러리가 좀 나와 있나요?
랜덤여신
15/07/30 23:03
수정 아이콘
댓글이 늦었습니다. 모바일에서 댓글 알림 보고 컴퓨터에서 답변해야지 했는데 깜빡해버렸네요.

러스트 관련 쓸만한 라이브러리는... 없습니다! 하하. '러스트를 썼다면'은 농담 삼아 이야기한 거고 사실 지금 당장 제정신(?)을 가진 회사가 쓰긴 어렵지요. 여전히 얼리어댑터용 언어라고 생각합니다. 개인이 배워두면 좋고 회사가 도입하긴 어렵고...

(그럼에도 드롭박스를 비롯한 몇몇 회사는 러스트로 자기네 시스템을 짜고 있다고 들었습니다. 대단한 양반들입니다. 흐흐)
영원한초보
15/07/29 12:31
수정 아이콘
국내 애플관련 주식이 뭐 있나요?
애플도 뚫리겠지만 국내보안 이슈에서는
정부까지 애플을 밀어주니 압도적 승리네요
즐겁게삽시다
15/07/29 12:35
수정 아이콘
후으 불안해서 못쓰겠네요.
국정원 해킹부터 이번 건 까지
애플은 좋아하지만 아이폰만 싫어했었는데
어쩔 수 없이 다음 폰은 아이폰으로....ㅠㅠ
어떤날
15/07/29 12:40
수정 아이콘
음... 안드로이드 정확히는 갤빠였는데.. 점점 충성심이 사라지고 있습니다 ㅠㅠ 가뜩이나 프리미엄 라인이 일체형 분위기로 가면서 영 맘에 안 들었는데... 보안 이슈까지 터져주니 등떠밀리는 기분이네요. -_-
응큼중년
15/07/29 13:51
수정 아이콘
애플 삼성 모두 싫은 분들...
블랙배리로 오세요...
starmaze
15/07/29 13:52
수정 아이콘
동영상 관련 버퍼 오버플로우 취약점이라는 소문이 있습니당~
https://github.com/CyanogenMod/android_frameworks_av/commit/57db9b42418b434751f609ac7e5539367e9f01a6
취약점을 공개한 사람이 직접 작업한 부분이라 정황상 맞을 확률이 매우 높아요

덧붙이자면 이미 어딘가에서 숙련된 해커들이 1-day exploit을 재빨리 만들어서 팔아먹고 있을지 모를 일이죠 안드로이드 특성상 그 exploit을 몇 달을 돌려도 먹히는 폰이 어딘가에 있을 것이라는 것이 문제구요..
15/07/29 14:03
수정 아이콘
오랜만에 보는 그 커스텀롬이네요.. 흐흐..
사이버포뮬러 HQ
15/07/29 14:09
수정 아이콘
제 핸드폰 정보를 빼가면 뭘 할 수 있는건가요 ?? 우어어어어 흑흑
세크리
15/07/29 14:22
수정 아이콘
코드가 오픈소스라 이런 취약점이 더 빨리 알려지게 되었다고는 생각합니다. 리눅스같은 경우도 취약점 발견이 더 빠르고 업데이트도 빠르죠. 다만 다른점은 리눅스야 업데이트가 무척 자유로운데 비해 안드로이드 업데이트는 제조사가 끼어있어서 뎌뎌질수 있다는 거죠.
제 생각입니다만, 아이폰도 대안이라고 하긴 힘든게, 해커들만 알고있는 취약점은 안드보다 훨씬 많을거라 생각해서... 전에 사파리 보안버그를 이용한 원클릭 해킹이 유행했을때도 있고 말이죠...
15/07/29 14:23
수정 아이콘
그래 이제 아이폰을쓰자
키스도사
15/07/29 14:41
수정 아이콘
아이폰 사고 생각했던거랑은 달라 좀 실망했었는데

이런 기사를 보면 잘샀다는 생각이 드네요.
15/07/29 15:32
수정 아이콘
기술적으로 아이폰도 다르지 않을걸요?
입단속이 쉬울 뿐
마술사얀
15/07/29 15:43
수정 아이콘
기술적으로야 해킹에 100프로 안전한 OS 가 어딨겠습니까. 차이라면 안드로이드는 이미 뚫렸고 iOS 는 언젠가는 뚫릴지도 모른다는 문제겠죠.
동네형
15/07/29 16:03
수정 아이콘
아이폰이 안 뚫리는게 아니라 그 대응 프로세스가 구조상 단순하여 적용이 빠른것일 뿐이죠.
이건 안드로이드의 보안이 문제가 아니라 업데이트 프로세스의 문제라고 봐야 됩니다;;;
15/07/29 16:51
수정 아이콘
결국 안드로이드 보안의 문제기도 하죠..

보안이 뚫렸을때 아이폰 진영은 대응을 애플에서 빠르게 할수 있지만, 안드로이드 진영은 매번 대응이 느릴수밖에 없습니다...
생태계가 완전히 바뀌지 않는한은요..

보안패치가 느린것도 결국 보안문제라고 봐야 되니까요..
그게 안드로이드가 가지는 최대 취약점이기도 해서..
이 분이 제 어머
15/07/29 19:20
수정 아이콘
일반인에게는 그게 보안 자체죠
영원이란
15/07/29 23:34
수정 아이콘
일반인들이 아이폰 보안이 좋다고 하는건 폐쇄성에서 나오는거죠. 앱스토어를 거치지 않고선 앱을 설치할 수 없으니.
이 분이 제 어머
15/07/29 23:38
수정 아이콘
대응에 얼마나 시간이 걸리냐도 보안에서 중요한 쟁점입니다.
산지에서 갓 잡은 생선은 똑같이 신선하지만
산지직송이냐 다섯번쯤 거쳐오냐에 따라 횟감이냐 냉동이냐로 나뉘게 되는것처럼요.
이런 이슈에서 대응속도는 아무래도 애플>안드 레퍼런스>안드 메이저 제조사>안드 마이너 제조사 순일겁니다
몽키.D.루피
15/07/29 16:17
수정 아이콘
단순히 보안문제가 아니라 생태계 구조의 문제라서 더 골치 아픈거 아닌가요? 아이폰이었으면 하루이틀 조심하면서 해당기능 꺼놓고 살다가 패치 나오면 바로 업데이트하면 되는데 안드 쓰는 입장에서 도대체 어떻게 대응해야 될지 감이 안잡히네요. lg폰이라 신뢰도 안가고..
영원이란
15/07/29 16:47
수정 아이콘
ios 라고 완벽하게 안전한건 아니죠. 사파리 보안버그로 인한 원클릭 탈옥 같은 사례도 있고 기타 알려지지 않은 보안 문제가 없다고 장담할 수 없습니다.
15/07/29 20:47
수정 아이콘
당연히 완벽하게 안전할 리는 없는데, 탈옥안하고 업데이트만 잘해도 안드로이드보다는 훨씬 안전하다는 걸
대한민국 국정원이 인증해 줬죠
영원이란
15/07/29 22:33
수정 아이콘
아이폰이 저런식의 커널이나 시스템단 취약점 까지 안전하다는 얘기는 아닙니다. ios 업데이트는 안하는 사람도 제법 많고요. 물론 대응은 엄청난 차이가 나지만요.
LifeLivingToday
15/07/29 23:58
수정 아이콘
iOS, MacOS 업그레이드에 따른 유저 업데이트 비율은 여타 OS와 비교를 불가합니다.
iOS 최신버전 업데이트 비율이 전체 유저의 97%, MacOS 업그레이드 비율이 53%인데

윈 XP 사용 비율이 아직도 20%대인걸 비교하면 업데이트는 언급할 대상이 안됩니다.
15/07/29 16:59
수정 아이콘
뭔가 하기도 전에 뚫린다는 것 때문에 최대 보안이슈인 것은 맞는 것 같네요. 그래도 안드로이드의 순항에는 큰 문제는 없을 것 같습니다.
15/07/29 22:57
수정 아이콘
이글보고 mms설정 바꿨더니 1581-006810 번호로 코드같은 이상한 문자가 왔는데 타이밍이 맞은걸까요 무얼까요. 무섭네요;;
영원이란
15/07/29 23:32
수정 아이콘
아직 취약점이 자세히 나온건 아니라 실질적인 위협은 아닙니다.
*alchemist*
15/07/29 23:27
수정 아이콘
역시 정부 인증 아이폰 만세군요... (이렇게 앱등이는 스스로위로를 합니다...;)
15/07/30 01:54
수정 아이콘
이게 연락처는 기본이요 저장된 사진부터 sd카드 내 자료까지 컨트롤 한다던데... 원격으로 카메라도 킬수도 있다더군요 덜덜... 연예인이나 뭐 정치인이나 앞으로 아이폰만 쓰는걸로?
목록 삭게로! 맨위로
번호 제목 이름 날짜 조회 추천
60071 [일반] 혁오와 정형돈 [97] 16520 15/07/29 16520 70
60070 [일반] 한화이글스에 대한 오해. [222] 미하라13712 15/07/29 13712 12
60069 [일반] Be Dad [아빠 냥이 이야기-스압+이미지 다수첨부] [11] 종이사진4276 15/07/29 4276 13
60068 [일반] [역사] 1772년, 영국 최초의 노예해방 판례 [7] aurelius4464 15/07/29 4464 5
60067 [일반] 자게올려도 되는지 모르겠지만 남미 여행 사진입니다(사진 재업로드) [41] 사신군4911 15/07/29 4911 4
60066 [일반] 봉이 김선달 뒤통수를 때릴 제품들 4가지 소개 [80] 포켓토이13130 15/07/29 13130 10
60065 [일반] [해축] 어제의 bbc 이적가십 및 선수이동 [25] pioren4665 15/07/29 4665 0
60064 [일반] 안드로이드 최대 보안이슈가 터졌습니다. [95] Leeka17082 15/07/29 17082 3
60063 [일반] 與 내부문건 "권역별 비례대표제 도입시 과반의석 붕괴" [49] 알베르토7067 15/07/29 7067 2
60062 [일반] [역사] 선조의 의병장 김덕령 탄압 사건의 전말 -하- [12] sungsik5398 15/07/29 5398 7
60061 [일반] 해외 직구 때문에 정말 답답합니다. [157] 알마16262 15/07/29 16262 5
60060 [일반] 국정원 사건에 대한 짧은 생각(월요일 기사 추가 및 반박추가합니다) [39] 이순신정네거리6764 15/07/28 6764 8
60059 [일반] 한화이글스 불펜 혹사 [375] 자전거도둑18001 15/07/28 18001 1
60058 [일반] 멀티플레이어즈(3) 오마이걸 승희 [11] 좋아요4005 15/07/28 4005 0
60057 [일반] 이종범에 관한 이야기 [60] 천재의눈물10859 15/07/28 10859 5
60056 [일반] 甲甲하는 무한도전 가요제 [303] 王天君24940 15/07/28 24940 21
60055 [일반] [WWII] 북아프리카 전선 외전 - 그리스 침공 [5] 류지나3124 15/07/28 3124 4
60054 [일반] [MLS] 디디에 드록바, 션 라이트 필립스 MLS 진출 확정 [11] 비타에듀5203 15/07/28 5203 0
60053 [일반] [MLB] 콜로라도의 유격수 툴로위츠키가 토론토로 트레이드됐습니다. [24] 까망탱이5467 15/07/28 5467 0
60052 [일반] 롯데 그룹에서 "왕자의 난"이 일어났습니다. [75] 어리버리18149 15/07/28 18149 2
60051 [일반] Be Mom. [29] 종이사진5441 15/07/28 5441 10
60050 [일반] 유방 마누라 여후에 대한 몇가지 이야기들. [24] 우주모함17803 15/07/28 17803 2
60049 [일반] 정부 “강남구 메르스 격리자 생계비는 서울시가 내라” 뒤끝 [50] 삭제됨9306 15/07/28 9306 0
목록 이전 다음
댓글

+ : 최근 1시간내에 달린 댓글
+ : 최근 2시간내에 달린 댓글
맨 위로