안드로이드폰 해킹 또는 해킹 지시용 문자메시지(MMS, SMS): 관련 기사를 읽고

"만약 당신이 안드로이드폰이 모바일 인터넷에 연결돼있지 않다면 안심할 수 있을까? 아닐 수도 있다."

이런 이야기입니다.

안드로이드폰에서는 앱을 깔 때, 이걸 동의받는 앱이 있습니다.

"SMS문자메시지 접근 권한"

예를 들어, 어떤 앱은 자기 서비스를 위한 본인인증문자를 수신하면 바로 캐치해서 자동입력하죠.

이렇게, 문자메시지함에 접근할 수 있는 권한을 요구하는 앱이 많습니다.

그래서, 악성코드를 만들어 조작하고 싶은 사람에게 두 가지 가능성이 생깁니다.

하나는, 아래 기사에서 말하는 것처럼

http://clien.net/cs2/bbs/board.php?bo_table=news&wr_id=2025744

http://techholic.co.kr/archives/37694

MMS에 미디어파일을 첨부해 전송할 때 악성코드가 들어있는 파일을 집어넣은 경우입니다.

수신자의 안드로이드폰에서 그 미디어파일을 핸들링하는 디폴트 프로그램(이것은 안드로이드 OS일 수도 있고, 그 수신자가 이용하는 디폴트 프로그램일 수도 있습니다. 저기서는 구버전 OS의 취약점을 지적)의 버그를 이용하는 거죠.

문제는 링크 글의 댓글에서 언급되듯, 스마트폰OS, 그 중에서도 버전업이 빠르기로 유명한 안드로이드OS의 보안 업데이트는 업계 선도그룹 회사들도 모든 모델을 오랫동안 해주는 일은 드물다는 것. 보통 약정이 끝나면 새 전화기를 사기 전에는 안 된다는 겁니다. 제 전화기만 해도 2년을 지난 것이라.. 라인업이 단순하고 잘 버는 애플이나, 라인업이 무지 많지만 그래도 신경써주는 삼성 정도면 해주겠지만..

다른 하나는, 수신자의 스마트폰에 어떤 과정으로 이미 깔린 뒤 잠복하고 있는 악성 앱이 있을 때,

어떤 행동을 하라고 지시하는 문자(MMS나 SMS)를 보낼 수 있겠죠?

저 접근권한이 수신문자를 지울 수 있는지 없는지 모르겠지만, 수신문자를 지울 수 없으면 광고문자로 위장해서 보낼 수 있을 테고^[각주:1] 수신문자를 지울 수 있으면 전화기 주인은 문자를 받은 줄도 모를 겁니다.

그리고 이런 지시는 SMS, MMS를 이용하므로 무선랜, 모바일에 연결돼있지 않아도 지시를 내릴 수 있습니다.

(그리고 수집한 결과물을 전화기주인몰래 MMS로 보낼 수도 있을 지 모르겠네요. 이것은 제 상상입니다..)

IoT .. 점점 안심하고 쓰기 힘들어지는 세상입니다. ;;

추가.

모 사이트에 관련 링크가 추가되었길래 덧붙입니다.

- 백신회사 https://www.avast.com/en-us/faq.php?article=AVKB230

- 한국인터넷진흥원 인터넷침해대응센터 http://krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=23184

1. 소설 <은하영웅전설>에서 얀 웬리가 이젤론요새를 재탈취한 것처럼 말이죠. :) [본문으로]